استكشاف أخطاء مزامنة وتوفير LDAP

نظرة عامة

تُعتبر مزامنة LDAP (بروتوكول الوصول إلى الدليل الخفيف الوزن) وتوفير المستخدم مكونات حيوية للحفاظ على وصول آمن وفعال إلى الموارد. ومع ذلك، قد تحدث مشاكل تعطل هذه العملية، مما يؤدي إلى مشاكل في الوصول وربما ثغرات أمنية. يهدف هذا الدليل إلى معالجة مسائل المزامنة والتوفير الشائعة لـ LDAP في Cato وتقديم حلول لحلها بشكل فعال.

الأعراض

يمكن أن تتجلى فشل المزامنة والتوفير في LDAP بطرق متعددة. قد يلاحظ المسؤول الأعراض التالية:

• فشل مزامنة LDAP
• فشل في توفير المستخدمين لـ Cato
• توفير مستخدمين غير متوقعين لـ Cato

الأسباب المحتملة

• مشاكل التوجيه إلى Cato
• سمات المستخدم غير صالحة أو مفقودة 
• خطأ في LDAP أو خادم LDAP غير متاح
• خطأ في اتصال TLS
• توجيه غير متماثل إلى خادم LDAP.
• مجموعات متداخلة والمستخدمين بداخلها
• عدم توفر تراخيص SDP

استكشاف المشكلة وإصلاحها

هناك خطوات لاستكشاف الأعراض التي قد يواجهها المسؤول مدرجة أدناه. تهدف هذه الخطوات إلى تحديد الأسباب المحتملة للمشكلات التي تواجهها. سيتم تسليط الضوء على خطوات الحل لاحقًا في الدليل.

استكشاف فشل مزامنة LDAP

يمكن تحفيز مزامنة LDAP يدويًا بالنقر على المزامنة الآن تحت الوصول > خدمات الدليل > LDAP. خلافًا لذلك، سيتم محاولة المزامنة التلقائية في الساعة 00:00UTC يوميًا لكل حساب، إلا إذا كان الحساب قد عطل المزامنة اليومية. يتناول هذا القسم السيناريو الذي يفشل فيه إكمال مزامنة LDAP.

تشغيل اختبار الاتصال

تحقق من نتيجة اختبار الاتصال مباشرة من CMA. سيقوم الاختبار بالتحقق من اتصال TCP وربط LDAP مع وحدة التحكم في المجال. يمكن تشخيص المشاكل الشائعة، مثل بيانات اعتماد غير صالحة وخادم معطل باستخدام هذه الأداة. 

تحليل أحداث خدمات الدليل

سوف ينتج عن فشل المزامنة حدث في Cato. قم بتصفية هذه الأحداث عن طريق تحديد النوع الفرعي في فشل اتصال DC وخدمات الدليل كما هو موضح في الصورة أدناه. سيظهر حقل رسالة الحدث سبب فشل المزامنة.

تحليل أخطاء LDAP

يمكن أن يشير خطأ LDAP الذي يظهر في حدث DC عند محاولة المزامنة إلى نوع المشكلة التي تواجهها. يشير الخطأ الذي يظهر أن DC لا يمكن الوصول إليه (رمز الخطأ 81، الخادم معطل) إلى خطأ في الاتصال. انظر استكشاف أخطاء الاتصال وإصلاحها.

الخطأ الذي يظهر خطأ محدد في LDAP يشير إلى أنه يمكن الاتصال بخدمة LDAP ولكن عملية المزامنة تفشل داخل بروتوكول LDAP. يمكن التحقيق في الأخطاء المحددة في LDAP بناءً على رمز الخطأ المُنتج. قد تجد هذه القائمة من أخطاء LDAP مفيدة.

يوضح المثال أدناه محاولة فاشلة للمزامنة بسبب بيانات اعتماد تسجيل دخول غير صالحة. لحل هذه المشكلة استمر مع حل أخطاء بيانات اعتماد LDAP

استكشاف أخطاء الاتصال وإصلاحها

يتطلب الاتصال ثنائي الاتجاه بين CMA لـ Cato وخادم LDAP لكي تكتمل المزامنة بنجاح. تحقق من التالي:

1. يجب أن يكون خادم DC قادرًا على استقبال حركة المرور من عنوان IP لـ LDAP لـ Cato وأن يكون لديه مسار للعودة إلى Cato لإعادة حركة المرور إلى ذلك العنوان. لتحديد عنوان IP لـ LDAP لـ Cato، انظر عنوان IP المصدر لتطبيق إدارة Cato (يجب عليك تسجيل الدخول لعرض هذه المقالة).
2. إذا كان وحدة التحكم في المجال الخاص بك خلف اتصال IPsec أو إذا كنت توجه فقط بعض الشبكات الفرعية إلى المقبس، فتأكد من تضمين عنوان IP لـ LDAP لـ Cato في تكوين توجيه نفق VPN الخاص بك. لتحديد عنوان IP لـ LDAP لـ Cato، انظر عنوان IP المصدر لتطبيق إدارة Cato (يجب عليك تسجيل الدخول لعرض هذه المقالة).
3. يجب أن تسمح سياسات جدار الحماية أو الأمان على خادم DC بتدفق هذه الحركة ثنائي الاتجاه.

بالنسبة لخوادم LDAP المحلية خلف موقع المقبس، لا يجب أن تكون الحركة فقط ثنائية الاتجاه، ولكن يجب أن تكون أيضًا متماثلة. سيصل استعلام LDAP الذي يبدأه Cato إلى الخادم عبر نفق المقبس. يجب أن يتم توجيه حركة المرور العائدة أيضًا عبر نفق المقبس. عدم القيام بذلك سيؤدي إلى اتصال غير متماثل مما يتسبب في فشل المزامنة.  

تحقق من مدى نشاط وحدة التحكم في المجال الداخلية من خلال التحقق من قيمة نشاط المضيف الأخير من صفحة المضيفين المعروفين في الموقع. انظر عرض المضيفين المعروفين لموقع

يمكن استكشاف مشاكل الاتصال بشكل أعمق عن طريق تشغيل التقاط PCAP على LAN Socket المتصل بخادم DC أثناء تشغيل مزامنة يدوية من CMA. تعيين فلتر ip.addr==عنوان IP لـ LDAP لـ Cato. يستخدم حركة المرور غير المشفرة للـ LDAP منفذ TCP/389 والـ LDAP المشفر (LDAPS) يستخدم منفذ TCP/636.

يتيح التقاط حركة المرور غير المشفرة للـ LDAP تسهيل استكشاف مشكلة المزامنة، نظرًا لأن ردود LDAP يمكن رؤيتها بشكل واضح.

للتحول إلى LDAP غير مشفر، قم بإلغاء تحديد خيار تشفير SSL تحت تكوين خدمات الدليل.

إذا كانت مزامنة LDAP يجب أن تكون مشفرة بـ SSL، استمر مع استكشاف أخطاء TLS وإصلاحها.

استكشاف أخطاء TLS وإصلاحها

عند إجراء LDAPS، يمكن أن تفشل محادثة TLS إما من قبل Cato PoP أو خادم LDAP. يمكن تحديد الخطأ في التقاط الحزمة، مثل التحذير الفتالي. في المثال أدناه، يغلق PoP اتصال TCP بعد تلقي ACK Hello الخاص بالعميل والذي يشير إلى مشكلة في PoP.

حدد أي أخطاء TLS عند القيام بـ LDAPS من التقاط الحزمة. لحل هذه، استمر مع حل أخطاء LDAPS TLS

استكشاف فشل توفير المستخدم

قد يفشل توفير مستخدمي LDAP لـ Cato لأسباب مختلفة. يشرح هذا القسم السيناريوهات الأكثر شيوعًا التي قد تفسر هذا السلوك.

التحقق من جدول المستخدمين في الدليل

حاول تحديد المستخدم المتأثر في صفحة دليل المستخدمين تحت الوصول > المستخدمين. حدد ما إذا كان:

• المستخدم مفقود من دليل المستخدمين. إذا كان الأمر كذلك، تحقق من سمات المستخدم المفقودة، إعدادات مزامنة المستخدم، المستخدمين المعطلين، قيود الاستعلامات عن المستخدم والمستخدمين المكررين.
• تم توفير المستخدم بدون ترخيص SDP. سيؤدي ذلك إلى عدم قدرة المستخدم على الاتصال بـ Cato من عميل SDP لـ Cato. إذا كانت هذه هي المشكلة، تحقق من التراخيص المفقودة لـ SDP، سمات المستخدم المفقودة والمستخدمين المكررين.

التحقق من سمات المستخدم المفقودة

قد تُعتبر سمات المستخدم غير صالحة أو مفقودة من قبل Cato ويمكن أن تؤدي إلى تخطي المستخدمين من التوفير. تأكد من أن السمات التالية مُكوَّنة بشكل صحيح للمستخدم:

• يجب تكوين الأسماء الأولى والأخيرة لمستخدمي AD. خلافًا لذلك، لن يتم مزامنة المستخدمين الذين لم يتم تسجيل أسمائهم الأولى أو الأخيرة إلى حسابك في Cato.
• يجب تعريف سمات البريد الإلكتروني وUPN بالتنسيق التالي: user@domain. خلافًا لذلك، سيتم توفير المستخدم ولكنه سيفشل في الحصول على تعيين ترخيص SDP.

التحقق من إعدادات مزامنة المستخدم

يمكن أن تؤدي التغييرات على مستخدمي LDAP في وحدة التحكم في المجال إلى تحفيز عدد كبير من تعديلات المستخدمين في CMA الذي يتم التحكم فيه في إعدادات LDAP. كما هو موضح في تحديث تفاصيل المستخدمين الحاليين، فإن الخيارات منع إزالة أو تعطيل المستخدمين في حالة تجاوز... وتحديث البريد الإلكتروني للمستخدمين، حتى سوف يحد من عدد المستخدمين الذين يمكن إزالتهم أو تعطيلهم أو تحديثهم لكل مزامنة.

إذا تجاوز الحد، ستفشل المزامنة التالية لـ LDAP وسيتم فشل توفير المستخدمين الجدد لـ LDAP. سيتم إنشاء حدث خدمات الدليل إذا حدثت المشكلة أعلاه.

لحل هذه المشكلة، ألغ تحديد هذه الخيارات إذا كان العدد الكبير من تغييرات المستخدمين يمنع إكمال المزامنة.

التحقق من مستخدمي LDAP المعطلين

عند تشغيل مزامنة، إذا كان المستخدم المراد توفيره معطلًا أو منتهي الصلاحية في Active Directory، فلن يتم توفير المستخدم لـ CMA. لن يكون هناك حدث فشل في CMA.

تأكد من عدم وجود المستخدم في وحدة التحكم في المجال.

التحقق من قيود الاستعلامات عن المستخدم

يمتلك LDAP في Active Directory من Microsoft قيودًا مدمجة تسمح فقط بإرجاع الكائنات ذات أقل من 1500 سمة في أي استعلام فردي. وبذلك، عندما يجرى CMA استعلام LDAP، أي مجموعة بها أكثر من 1500 عضو سترجع قائمة أعضاء فارغة إلى CMA، مما ينتج عنه إلغاء تنشيط/ حذف المستخدمين في CMA.

يمكن تشغيل التقاط PCAP من LAN Socket للتحقق مما إذا كنت تعاني من هذا القيد. ستكون سمة العضو فارغة وسيكون هناك سمة عضو إضافية تظهر range=0-X. هذا يشير إلى أن خادم AD كان يحاول فرض الترقيم.

لحل هذه المشكلة، انظر حل قيود استعلامات المستخدم

التحقق من المستخدمين المكررين

عند تشغيل المزامنة، إذا كان عنوان البريد الإلكتروني للمستخدم المراد توفيره موجودًا بالفعل في CMA، فإن سلوك توفير المستخدم الجديد سيعتمد على كيفية استيراد المستخدم المكرر إلى CMA:

• إذا كان المستخدم المكرر LDAP، سيتم توفير المستخدم الجديد LDAP بنجاح ولكن لن يكون هناك ترخيص SDP معتمد على صفحة دليل المستخدمين.
  وسيتم إنشاء حدث ترخيص SDP تحت الشروط الموضحة أعلاه.
  

  
  لحل هذه المشكلة، قم بتعديل عنوان البريد الإلكتروني أو اسم المستخدم الخاص بالمستخدم الذي تم توفيره حديثًا أو قم بإزالة المستخدم LDAP المكرر. يجب أن تكون هذه الحقول فريدة عبر جميع المستخدمين في خدمة الدليل.

• إذا كان المستخدم المكرر SCIM، فلن يتم توفير المستخدم الجديد LDAP لأنه لن يقوم بكتابة المستخدم المقدم من SCIM كما هو موضح في التحول من توفير SCIM إلى LDAP. لحل هذه المشكلة، تأكد من أن عنوان البريد الإلكتروني لكل مستخدم فريد وأن المستخدمين والمجموعات الموفرة بـ LDAP وSCIM لا تتداخل مع بعضها البعض.
• إذا كان المستخدم المكرر يدويًا، فلن يتم توفير المستخدم الجديد LDAP حيث لن يكتب فوق المستخدم المقدم يدويًا. لحل هذه المشكلة، تأكد من أن عنوان البريد الإلكتروني لكل مستخدم فريد أو قم بإزالة المستخدم الذي تم توفيره يدويًا من CMA قبل مزامنة LDAP.

التحقق من تراخيص SDP المفقودة

عند تشغيل مزامنة، إذا لم تكن هناك تراخيص SDP متاحة في الحساب أو للمستخدم والمجموعة المستخدمين المعنية، سيتم توفير المستخدم بنجاح ولكن لن يكون هناك ترخيص SDP مُعين في صفحة دليل المستخدمين.

تحقق من أن الترخيص SDP مُعين للمستخدم أو مجموعة المستخدمين الخاصة به، كما هو موضح في تعيين تراخيص SDP. إذا كانت المشكلة مرتبطة بتراخيص SDP في الحساب، سيتم إنشاء حدث ترخيص SDP كما هو موضح أدناه.

لحل هذه المشكلة، انظر حل أخطاء ترخيص SDP

استكشاف المستخدمين الموفرة غير المتوقعة

قد يختلف مستخدمو LDAP المستوردون عما تم تكوينه في CMA لأسباب مختلفة. يشرح هذا القسم السيناريوهات الأكثر شيوعًا التي قد تفسر هذا السلوك.

حقل مجموعات المستخدمين فارغ

كما هو موضح في استيراد مجموعات Active Directory، إذا لم يتم اختيار مجموعات مستخدمين تحت إعدادات LDAP، يتم استيراد الدليل النشط بالكامل. سيؤدي ذلك إلى استيراد قاعدة المستخدمين بالكامل إلى CMA واستنزاف تراخيص المستخدمين لـ Cato.

لحل هذه المشكلة، عرف فقط مجموعات LDAP المحددة التي ترغب في استيرادها إلى Cato واتبع حل أخطاء ترخيص SDP

التحقق من مجموعات متداخلة

إذا لاحظت بعد إجراء مزامنة LDAP أن بعض المستخدمين المفوضين لم يتم تحديدهم للاستيراد في الوصول > الخدمات الدليلية > LDAP > مجموعات المستخدمين تحقق من التالي:

• تفحص مزامنة Cato LDAP أعضاء كل مجموعة مستخدم محددة. قد تتضمن هذه المجموعات مستخدمين بالإضافة إلى مجموعات متداخلة أخرى. في هذا المثال، تم تحديد مجموعة VPN فقط في CMA.
  
• يمكنك التحقق من جميع المجموعات التي ينتمي إليها مستخدم معين من صفحة عضو في مجموعات في CMA.
  
• في المثال أعلاه، تحت مجموعة هي مجموعة متداخلة من مجموعة VPN لذا سيتم استيراد أي عضو من تحت مجموعة إلى CMA بشرط أن Cato يستورد المجموعات المتداخلة ومستخدميها إذا كانوا موجودين ضمن مجموعة مستخدم محددة. 

حل المشاكل المكتشفة

حل أخطاء بيانات اعتماد LDAP

أكد أن حقول تسجيل الدخول DN والقاعدة DN في إعدادات LDAP صحيحة بناءً على سمات المستخدم المسؤول المُثبت في الدليل النشط. 

لتأكيد تسجيل الدخول DN، قم بتنفيذ الأمر التالي من موجه أوامر DC:

 dsquery user -name <اسم المستخدم>

سيظهر الناتج distinguishedName كاملاً المعدة للمستخدم المسؤول والذي يجب أن يتطابق مع حقل تسجيل الدخول DN في CMA

إذا لزم الأمر، قم بإعادة تعيين كلمة المرور للمستخدم المسؤول على وحدة التحكم بالمجال وتأكد من أنها تتطابق مع كلمة المرور المدخلة في CMA.

حل أخطاء LDAPS TLS

إذا تم إرسال خطأ TLS بواسطة خادم LDAP، يمكنك التحقق من عارض أحداث Windows لمزيد من المعلومات. إذا تم إرساله بواسطة PoP يمكنك محاولة إزالة وإعادة إضافة وحدة التحكم بالمجال ذات الصلة تحت خدمات الدليل. هذا سيفرض إعادة إنشاء اتصال TLS مع خادم LDAP. 

حل قيود استفسار المستخدمين

كما هو مذكور في مزامنة المستخدمين مع LDAP، لتجنب إلغاء تفعيل/حذف غير مرغوب فيه للمستخدمين بسبب هذا القيد، يمكنك تخصيص العدد الأقصى للمستخدمين الذين يمكن تغيير عضويتهم في مجموعات المستخدمين في مزامنة واحدة عن طريق تكوين خيار "منع تحديث عضوية المجموعة" في CMA.

لحل الاستجابة الفارغة للاستفسار من وحدة التحكم بالمجال، يمكنك اتباع الخطوات التالية:

• قم بتعديل سمة سياسة LDAP لمايكروسوفت لـ MaxValRange التي تتحكم في عدد القيم التي ستُعاد. يتم شرح الإجراءات في هذه مقالة MS.
• بدلاً من ذلك، يمكن إزالة القيود على الاستفسار بالكامل كما هو مُوضح في هذه مقالة MS.
• إذا لم يُسمح بأي تغييرات في الدليل النشط، فإن البديل الوحيد هو استخدام مجموعة LDAP بها أقل من 1500 من السمات لتزويد المستخدمين إلى Cato.

حل أخطاء تراخيص SDP

يمكن العثور على حالة تراخيص الحسابات تحت الإدارة > الترخيص > المستخدم 

في حالات عدم توفر تراخيص كافية، قم بتقليل نطاق المستخدمين ومجموعات المستخدمين تحت الوصول > تعيين الترخيص. وإلا، تحقق مع مدير الحساب أو مالك الحساب لشراء تراخيص SDP إضافية.

رفع الحالات إلى دعم Cato

قم بتقديم تذكرة دعم مع نتائج خطوات استكشاف الأخطاء المذكورة أعلاه. يرجى تضمين المعلومات التالية في التذكرة:

• تفاصيل المشكلة التي تم تجربتها وأثرها العام على المستخدمين.
• أحداث الخدمات الدليلية ذات الصلة ونتيجة مزامنة LDAP اليدوية.
• ملف التقاط PCAP يُظهر المحادثة كاملة مع خادم LDAP.