Solución de problemas de sincronización y aprovisionamiento de LDAP

Visión general

La sincronización de LDAP (Lightweight Directory Access Protocol) y el aprovisionamiento de usuarios son componentes críticos para mantener un acceso seguro y eficiente a los recursos. Sin embargo, pueden surgir problemas que interrumpan este proceso, llevándote a problemas de acceso y posibles vulnerabilidades de seguridad. Este manual pretende abordar problemas comunes de sincronización y aprovisionamiento LDAP en Cato y proporcionar soluciones para resolverlos eficazmente.

Síntomas

Las fallas en la sincronización y aprovisionamiento de LDAP pueden manifestarse de varias maneras. Un administrador puede observar los siguientes síntomas:

• Falla de sincronización de LDAP
• Los usuarios no son aprovisionados a Cato
• Usuarios inesperados son aprovisionados a Cato

Posibles causas

• Problemas de enrutamiento de vuelta a Cato
• Atributos de usuario inválidos o ausentes 
• Error de LDAP o servidor LDAP no disponible
• Error de conectividad TLS
• Enrutamiento asimétrico al servidor LDAP.
• Grupos anidados y usuarios dentro
• Falta de licencias SDP disponibles

Solucionando el problema

A continuación se presentan los pasos para solucionar los síntomas que un administrador podría encontrar. Estos pasos están destinados a identificar posibles causas de los problemas enfrentados. Los pasos de resolución se destacarán más adelante en el manual.

Solucionando la falla de sincronización de LDAP

La sincronización manual de LDAP se puede activar haciendo clic en Sincronizar ahora en Acceso > Servicios de Directorio > LDAP. De lo contrario, los sincronizados automáticos se intentarán a las 00:00 UTC diariamente para toda la cuenta, a menos que una cuenta haya desactivado las sincronizaciones diarias. Esta sección aborda el escenario donde la sincronización LDAP no se completa.

Ejecutando la prueba de conexión

Verifica el resultado de la prueba de conectividad directamente desde CMA. La prueba verificará la conectividad TCP y el enlace de LDAP con el Controlador de Dominio. Problemas comunes, tales como credenciales inválidas y servidor caído pueden diagnosticarse usando esta herramienta. 

Análisis de eventos de servicios de directorio

Una falla de sincronización generará un evento en Cato. Filtra estos eventos seleccionando Subtipo en Error de conectividad DC y Servicios de Directorio como se muestra en la captura de pantalla a continuación. El campo Mensaje de evento mostrará la razón de la falla de la sincronización.

Analizando errores de LDAP

Un error de LDAP visto en el evento DC cuando se intenta sincronizar puede implicar el tipo de problema que estás experimentando. Un error que muestra que el DC no puede ser alcanzado (código de error 81, servidor caído) sugiere un error de conectividad. Consulta Solucionando problemas de conectividad.

Un error que devuelve un error específico de LDAP sugiere que puede establecerse conectividad con el servicio LDAP pero el proceso de sincronización falla dentro del protocolo LDAP. Los errores específicos de LDAP pueden investigarse basados en el código de error generado. Puede que encuentres esta lista de errores de LDAP útil.

El ejemplo a continuación muestra un intento de sincronización fallido debido a credenciales de inicio de sesión inválidas. Para resolver este problema continúa con Resolviendo errores de credenciales LDAP

Solucionando problemas de conectividad

Se requiere conectividad bidireccional entre CMA de Cato y el servidor LDAP para que la sincronización se complete exitosamente. Confirma lo siguiente:

1. El servidor DC debe poder recibir tráfico de la dirección IP de LDAP de Cato y tener una ruta de vuelta a Cato para devolver tráfico a esa dirección. Para identificar la dirección IP de LDAP de Cato, consulta Dirección IP de origen para la Aplicación de Gestión de Cato (debes estar firmado para ver este artículo).
2. Si tu Controlador de Dominio está detrás de una conexión IPsec o si solo estás enrutando algunas subredes al Socket, asegúrate de incluir la dirección IP de LDAP de Cato en tu configuración de enrutamiento del túnel VPN. Para identificar la dirección IP de LDAP de Cato, consulta Dirección IP de origen para la Aplicación de Gestión de Cato (debes estar firmado para ver este artículo).
3. Las políticas de firewall o de seguridad en el servidor DC deben permitir el flujo bidireccional de este tráfico.

Para servidores LDAP locales detrás de un sitio de socket, no solo el tráfico debe ser bidireccional, sino también simétrico. Una consulta LDAP iniciada por Cato llegará al servidor a través del túnel socket. El tráfico de retorno también debe ser enrutado de regreso a través del túnel socket. No hacerlo llevará a una conexión asimétrica causando una sincronización fallida.  

Confirma la disponibilidad del Controlador de Dominio interno verificando el valor Última actividad del host desde la página Hosts conocidos en el sitio. Consulta Mostrando hosts conocidos para un sitio

Los problemas de conectividad pueden ser aún más diagnosticados ejecutando una captura PCAP en el LAN del Socket conectado al servidor DC mientras ejecutas una sincronización manual desde el CMA. Establece filtro ip.addr==dirección IP de LDAP de Cato. El tráfico LDAP no cifrado usa el puerto TCP/389 y el tráfico LDAP cifrado (LDAPS) usa el puerto TCP/636.

Capturar tráfico LDAP no cifrado puede facilitar la solución del problema de sincronización, dado que las respuestas LDAP pueden ser vistas en texto claro.

Para cambiar a LDAP no cifrado, desmarca la opción de cifrado SSL bajo la configuración del Servicio de Directorios.

Si las sincronizaciones LDAP deben estar cifradas con SSL, continúa con Solución de errores de TLS

Solucionando errores de TLS

Cuando se hace LDAPS, la conversación TLS puede fallar ya sea por el PoP de Cato o el servidor LDAP. Un error puede identificarse en la captura de paquetes, tal como una Alerta Fatal. En el ejemplo siguiente, el PoP cierra la conexión TCP después de recibir el ACK de Cliente Hola, lo que indica un problema con el PoP.

Identifica cualquier error de TLS al hacer LDAPS desde la captura de paquetes. Para resolver estos problemas, continúa con Resolviendo errores de TLS en LDAPS

Solucionando fallas de aprovisionamiento de usuarios

Los usuarios de LDAP pueden no ser aprovisionados a Cato por diferentes razones. Esta sección explica los escenarios más comunes que pueden explicar este comportamiento.

Verificación de la Página de Directorio de Usuarios

Intenta identificar el usuario afectado en la página Directorio de Usuarios bajo Acceso > Usuarios. Identifica si:

• El usuario está ausente del Directorio de Usuarios. Si es así, comprueba atributos de usuario ausentes, configuración de sincronización de usuario, usuarios desactivados, limitaciones de consulta de usuario y usuarios duplicados.
• El usuario fue aprovisionado sin una Licencia SDP. Esto resultará en que el usuario no pueda conectarse a Cato desde el Cliente SDP de Cato. Si este es el problema, verifica las licencias SDP ausentes, atributos de usuario ausentes, y usuarios duplicados.

Verificación de Atributos de Usuario Ausentes

Los Atributos de Usuario pueden considerarse inválidos o ausentes por Cato y pueden llevar a que los usuarios sean omitidos del aprovisionamiento. Asegúrate de que los siguientes atributos estén configurados correctamente para el usuario:

• Deben configurarse nombres y apellidos para los usuarios de AD. De lo contrario, los usuarios que falten un nombre o apellido no se sincronizarán con tu cuenta de Cato.
• Los atributos de correo electrónico y UPN deben definirse en el siguiente formato: usuario@dominio. De lo contrario, el usuario será aprovisionado pero fallará en recibir una asignación de licencia SDP.

Verificación de Configuración de Sincronización de Usuarios

Los cambios en los usuarios de LDAP en el Controlador de Dominio pueden desencadenar una gran cantidad de modificaciones de usuario en CMA, las cuales están controladas en la configuración de LDAP. Como se explica en Actualizando los detalles de los usuarios existentes, las opciones Prevenir la eliminación o desactivación de usuarios en caso de que más de... y Actualizar correos electrónicos de usuario, hasta limitarán la cantidad de usuarios que pueden ser eliminados, desactivados o actualizados en cada sincronización.

Si se excede el límite, la siguiente sincronización LDAP fallará y los nuevos usuarios de LDAP no serán aprovisionados. Se generará un evento de Servicios de Directorio si ocurre el problema mencionado anteriormente.

Para resolver este problema, desmarca estas opciones si la gran cantidad de cambios de usuario está impidiendo que se complete la sincronización.

Verificación de Usuarios de LDAP Desactivados

Al ejecutar una sincronización, si el usuario que debe ser aprovisionado está desactivado o expirado en Active Directory, el usuario no será aprovisionado en CMA. No habrá un evento fallido en CMA.

Confirma en el Controlador de Dominio que el usuario esté habilitado.

Verificación de Limitaciones de Consulta de Usuario

El LDAP de Microsoft Active Directory tiene una limitación incorporada que solo permite devolver objetos con menos de 1500 atributos en cualquier consulta única. Por lo tanto, cuando CMA ejecuta la consulta LDAP, cualquier grupo con más de 1500 miembros devolverá una lista de miembros vacía a CMA, resultando en usuarios desactivados/eliminados en CMA.

Una captura PCAP puede ejecutarse desde el LAN del Socket para verificar si estás experimentando esta limitación. El atributo de miembro estará vacío y habrá un atributo de miembro adicional mostrando rango=0-X. Esto indica que el servidor AD estaba intentando forzar la paginación.

Para resolver este problema, consulta Resolviendo Limitaciones de Consulta de Usuario

Verificación de Usuarios Duplicados

Al ejecutar una sincronización, si la dirección de correo electrónico del usuario que debe ser aprovisionado ya existe en CMA, el comportamiento del nuevo aprovisionamiento del usuario dependerá de cómo se importó el usuario duplicado a CMA:

• Si el usuario duplicado es LDAP, el nuevo usuario LDAP se aprovisionará satisfactoriamente pero no habrá una Licencia SDP asignada en la página Directorio de Usuarios.
  Se generará un evento de licencia SDP bajo las condiciones explicadas anteriormente.
  

  
  Para resolver este problema, modifica la dirección de correo electrónico o el nombre de usuario del usuario recién aprovisionado o elimina el usuario LDAP duplicado. Estos campos deben ser únicos entre todos los usuarios en el Servicio de Directorios.

• Si el usuario duplicado es SCIM, el nuevo usuario LDAP no será aprovisionado ya que no sobrescribirá al usuario aprovisionado por SCIM como se explica en Cambiando de aprovisionamiento SCIM a LDAP. Para resolver este problema, asegurarse de que la dirección de correo electrónico de cada usuario sea única y que los usuarios y grupos aprovisionados con LDAP y SCIM no se superpongan entre sí.
• Si el usuario duplicado es manual, el nuevo usuario LDAP no será aprovisionado ya que no sobrescribirá al usuario aprovisionado manualmente. Para resolver este problema, asegúrate de que la dirección de correo electrónico de cada usuario sea única o elimina al usuario aprovisionado manualmente de CMA antes de la sincronización LDAP.

Verificación de Licencias SDP Ausentes

Al ejecutar una sincronización, si no hay licencias SDP disponibles en la cuenta o para el usuario y grupo de usuarios en cuestión, el usuario se aprovisionará exitosamente pero no habrá una Licencia SDP asignada en la página Directorio de Usuarios.

Verifica que una licencia SDP esté asignada al usuario o su grupo de usuarios como se explica en Asignación de licencias SDP. Si el problema está relacionado con las licencias SDP en la cuenta, se generará un evento de licencia SDP como se muestra a continuación.

Para resolver este problema, consulta Resolviendo errores de licencias SDP

Solucionando usuarios aprovisionados inesperados

Los usuarios de LDAP importados pueden diferir de lo que está configurado en CMA por diferentes razones. Esta sección explica los escenarios más comunes que pueden explicar este comportamiento.

Campo de grupos de usuario vacío

Como se explica en Importando grupos de Active Directory, si no se seleccionan grupos de usuario bajo configuración de LDAP, se importa todo el Active Directory. Esto resultará en la importación de toda la base de usuarios a CMA y en el agotamiento de licencias de usuario de Cato.

Para resolver este problema, define solo aquellos grupos LDAP específicos que deseas importar a Cato y sigue Resolución de errores de licencia SDP

Verificación de Grupos Anidados

Si después de realizar una sincronización LDAP, notó que algunos de los usuarios provisionados no estaban definidos para importación en Access > Directory Services > LDAP > User Groups, verifique lo siguiente:

• La sincronización LDAP de Cato escanea los miembros de cada grupo de usuarios definido. Estos grupos pueden incluir usuarios y también otros grupos anidados. En este ejemplo, solo el grupo VPN está definido en CMA.
  
• Puede verificar todos los grupos a los que pertenece un usuario específico desde la página Miembro de Grupos en CMA.
  
• En el ejemplo anterior, subgrupo es un grupo anidado del grupo VPN por lo que cualquier miembro del subgrupo será importado a CMA dado que Cato importa grupos anidados y sus usuarios si están dentro de un Grupo de Usuarios definido. 

Resolución de Problemas Descubiertos

Resolución de Errores de Credenciales LDAP

Confirme que los campos Login DN y Base DN en la configuración LDAP sean correctos según los atributos del usuario Admin configurado en Active Directory. 

Para confirmar el Login DN, ejecute el siguiente comando desde el símbolo del sistema del DC:

 dsquery user -name <username>

La salida mostrará el distinguishedName completo configurado para el usuario admin que debe coincidir con el campo Login DN en CMA

Si es necesario, restablezca la contraseña para el usuario admin en el Controlador de Dominio y asegúrese de que coincida con la contraseña ingresada en CMA.

Resolución de Errores LDAPS TLS

Si el servidor LDAP envía un error TLS, puede verificar el Visor de Eventos de Windows para más información. Si es enviado por el PoP, puede intentar eliminar y re-agregar el Controlador de Dominio relacionado en Servicios de Directorio. Esto forzará un re-establecimiento de la conexión TLS con el servidor LDAP. 

Resolución de la Limitación de Consultas de Usuario

Como se menciona en Sincronización de Usuarios con LDAP, para prevenir la desactivación/eliminación no deseada de usuarios debido a esta limitación, puede personalizar el número máximo de usuarios que pueden cambiar la membresía del grupo de usuarios en una sola sincronización configurando la opción "Prevenir actualización de membresía de grupo" en CMA.

Para resolver la respuesta de consulta vacía del Controlador de Dominio, puede seguir estos pasos:

• Ajuste el atributo de política de LDAP de Microsoft para MaxValRange que controla cuántos valores serán devueltos. El procedimiento se explica en este artículo de MS.
• Alternativamente, la restricción de consulta puede eliminarse completamente como se explica en este artículo de MS.
• Si no se permiten cambios en Active Directory, la única alternativa es utilizar un grupo LDAP con menos de 1500 atributos para provisionar usuarios a Cato.

Resolución de Errores de Licencia SDP

El estado de licencia de las cuentas se puede encontrar en Administration > License > User 

En caso de que no haya suficientes licencias disponibles, reduzca el alcance de usuarios y grupos de usuarios en Access > License Assignment. De lo contrario, consulte con su CSM o propietario de la cuenta para comprar licencias SDP adicionales.

Elevando casos a Soporte de Cato

Envíe un ticket de soporte con los resultados de los pasos de resolución de problemas mencionados. Incluya la siguiente información en el ticket:

• Detalles del problema experimentado y el impacto general en usuarios.
• Eventos relacionados de Servicios de Directorio y el resultado de la sincronización LDAP manual.
• Archivo de captura PCAP mostrando la conversación completa con el servidor LDAP.