Dépannage de la synchronisation et de l'approvisionnement LDAP

Vue d'ensemble

La synchronisation LDAP (Lightweight Directory Access Protocol) et l'approvisionnement d'utilisateurs sont des composants critiques pour maintenir un accès sécurisé et efficace aux ressources. Cependant, des problèmes peuvent survenir et perturber ce processus, entraînant des problèmes d'accès et des vulnérabilités potentielles en matière de sécurité. Ce guide vise à résoudre les problèmes courants de synchronisation et d'approvisionnement LDAP pour Cato et à fournir des solutions pour les résoudre efficacement.

Symptômes

Les défaillances de synchronisation et d'approvisionnement de LDAP peuvent se manifester de différentes manières. Un administrateur peut noter les symptômes suivants :

  • Échec de la synchronisation LDAP
  • Les utilisateurs ne sont pas provisionnés pour Cato
  • Des utilisateurs inattendus sont provisionnés pour Cato

Causes possibles

  • Problèmes de routage de retour à Cato
  • Attributs utilisateur invalides ou manquants 
  • Erreur LDAP ou serveur LDAP indisponible
  • Erreur de connectivité TLS
  • Routage asymétrique vers le serveur LDAP.
  • Groupes imbriqués et utilisateurs à l'intérieur
  • Absence de licences SDP disponibles

Dépannage de l'incident

Les étapes pour résoudre les symptômes qu'un administrateur peut rencontrer sont listées ci-dessous. Ces étapes visent à identifier les causes possibles des problèmes rencontrés. Les étapes de résolution seront mises en évidence plus tard dans le guide.

Dépannage d'une panne de synchronisation LDAP

La synchronisation LDAP manuelle peut être déclenchée en cliquant sur Synchroniser maintenant sous Accès > Services de Répertoire > LDAP. Sinon, les synchronisations automatiques seront tentées à 00:00 UTC quotidiennement pour l'ensemble du compte, sauf si un compte a désactivé les synchronisations quotidiennes. Cette section aborde le scénario dans lequel la synchronisation LDAP échoue à se terminer.

Exécuter le test de connexion

Vérifiez le résultat du test de connectivité directement depuis CMA. Le test vérifiera la connectivité TCP et la liaison LDAP avec le contrôleur de domaine. Les problèmes courants, tels que les informations d'identification invalides et serveur en panne peuvent être diagnostiqués à l'aide de cet outil. 

Analyse des événements des services de répertoire

Un échec de synchronisation générera un événement dans Cato. Filtrez ces événements en sélectionnant Sous-type dans Erreur de connectivité DC et Services de répertoire comme le montre la capture d'écran ci-dessous. Le champ Message de l'événement affichera la raison de l'échec de la synchronisation.

Analyse des erreurs LDAP

Une erreur LDAP vue dans l'événement DC lors d'une tentative de synchronisation peut impliquer le type de problème que vous rencontrez. Une erreur indiquant que le DC ne peut pas être atteint (code d'erreur 81, serveur en panne) suggère une erreur de connectivité. Voir Dépannage des problèmes de connectivité.

Une erreur renvoyant une erreur LDAP spécifique suggère qu'une connectivité peut être établie avec le service LDAP mais que le processus de synchronisation échoue dans le protocole LDAP. Des erreurs LDAP spécifiques peuvent être investiguées en fonction du code d'erreur généré. Vous pouvez trouver cette liste d'erreurs LDAP utile.

L'exemple ci-dessous montre une tentative de synchronisation échouée en raison de l'invalidité des informations d'identification de connexion. Pour résoudre ce problème, continuez avec Résolution des erreurs de crédentialisation LDAP

Dépannage des problèmes de connectivité

Une connectivité bidirectionnelle est requise entre le CMA de Cato et le serveur LDAP pour que la synchronisation réussisse. Confirmez ce qui suit :

  1. Le serveur DC doit pouvoir recevoir du trafic provenant de l'adresse IP LDAP de Cato et avoir une route de retour vers Cato pour retourner le trafic à cette adresse. Pour identifier l'adresse IP LDAP de Cato, voir Adresse IP source pour l'application de gestion Cato (vous devez être connecté pour visualiser cet article).
  2. Si votre contrôleur de domaine est derrière une connexion IPsec ou si vous ne routez que certains sous-réseaux vers le Socket, assurez-vous d'inclure l'adresse IP LDAP de Cato dans votre configuration de routage de tunnel VPN. Pour identifier l'adresse IP LDAP de Cato, voir Adresse IP source pour l'application de gestion Cato (vous devez être connecté pour visualiser cet article).
  3. Les politiques de pare-feu ou de sécurité sur le serveur DC doivent permettre le flux bidirectionnel de ce trafic.

Pour les serveurs LDAP locaux derrière un site socket, non seulement le trafic doit être bidirectionnel, mais il doit également être symétrique. Une requête LDAP initiée par Cato atteindra le serveur via le tunnel socket. Le trafic de retour doit également être routé via le tunnel socket. Le non-respect de cela conduira à une connexion asymétrique entraînant une synchronisation infructueuse.  

Confirmez la disponibilité du contrôleur de domaine interne en vérifiant la valeur Dernière activité de l'hôte depuis la page Hôtes connus sur le site. Voir Afficher les hôtes connus pour un site

Les problèmes de connectivité peuvent faire l'objet d'un dépannage plus approfondi en exécutant une capture PCAP sur le LAN de la socket connectée au serveur DC tout en exécutant une synchronisation manuelle depuis le CMA. Définissez le filtre ip.addr==adresse IP LDAP de Cato. Le trafic LDAP non chiffré utilise le port TCP/389 et le LDAP chiffré (LDAPS) utilise le port TCP/636.

Capturer du trafic LDAP non chiffré peut faciliter le dépannage du problème de synchronisation, étant donné que les réponses LDAP peuvent être vues en clair.

Pour basculer vers le LDAP non chiffré, décochez l'option de chiffrement SSL sous la configuration des services de répertoire.

Si les synchronisations LDAP doivent être chiffrées SSL, continuez avec Dépannage des erreurs TLS.

Dépannage des erreurs TLS

Lors de l'utilisation de LDAPS, la conversation TLS peut échouer soit du côté du PoP de Cato, soit du côté du serveur LDAP. Une erreur peut être identifiée dans la capture de paquets, telle qu'une alerte de fatalité. Dans l'exemple ci-dessous, le PoP ferme la connexion TCP après avoir reçu l'accusé de réception Client Hello, ce qui indique un problème avec le PoP.

mceclip0 (2).png

Identifiez les erreurs TLS lors de l'utilisation de LDAPS depuis la capture de paquets. Pour résoudre ces problèmes, continuez avec Résolution des erreurs TLS en LDAPS

 

Dépannage des échecs de provisionnement des utilisateurs

Les utilisateurs LDAP peuvent ne pas être provisionnés pour Cato pour diverses raisons. Cette section explique les scénarios les plus courants qui peuvent expliquer ce comportement.

Vérification de la page du répertoire des utilisateurs

Essayez d'identifier l'utilisateur affecté sur la page du Répertoire des utilisateurs sous Accès > Utilisateurs. Identifiez si :

Vérification des attributs utilisateur manquants

Les attributs utilisateur peuvent être considérés comme invalides ou manquants par Cato et peuvent empêcher l'approvisionnement des utilisateurs. Assurez-vous que les attributs suivants sont correctement configurés pour l'utilisateur :

  • Les prénoms et noms de famille doivent être configurés pour les utilisateurs AD. Sinon, les utilisateurs sans prénom ou nom ne sont pas synchronisés avec votre compte Cato.
  • Les attributs d'e-mail et d'UPN doivent être définis dans le format suivant : utilisateur@domaine. Sinon, l'utilisateur sera provisionné mais échouera à obtenir une attribution de licence SDP.

Vérification des paramètres de synchronisation des utilisateurs

Les modifications des utilisateurs LDAP sur le Contrôleur de Domaine peuvent déclencher un nombre élevé de modifications d'utilisateurs dans CMA, qui est contrôlé dans les paramètres de LDAP. Comme expliqué dans Mise à jour des détails des utilisateurs existants, les options Empêcher la suppression ou la désactivation des utilisateurs si plus de... et Mise à jour des emails d'utilisateur, jusqu'à limiteront le nombre d'utilisateurs qui peuvent être supprimés, désactivés, ou mis à jour pour chaque synchronisation.

Si la limite est dépassée, la prochaine synchronisation LDAP échouera et les nouveaux utilisateurs LDAP ne pourront pas être provisionnés. Un événement de Services de Répertoire sera généré si le problème ci-dessus se produit.

 

Pour résoudre ce problème, décochez ces options si le grand nombre de changements d'utilisateur empêche la synchronisation de se terminer.

Vérification des utilisateurs LDAP désactivés

Lors de l'exécution d'une synchronisation, si l'utilisateur à provisionner est désactivé ou expiré dans Active Directory, l'utilisateur ne sera pas provisionné dans CMA. Il n'y aura aucun événement échoué dans CMA.

Confirmez sur le Contrôleur de Domaine que l'utilisateur est activé.

Vérification de la limitation des requêtes utilisateur

Le LDAP de Microsoft Active Directory a une limitation intégrée qui ne permet de renvoyer que des objets avec moins de 1500 attributs dans une seule requête. Ainsi, lorsque CMA exécute la requête LDAP, tous les groupes avec plus de 1500 membres renverront une liste de membres vide à CMA, entraînant la désactivation/suppression d'utilisateurs dans CMA.

Une capture PCAP peut être exécutée depuis le LAN du Socket pour vérifier si vous rencontrez cette limitation. L'attribut membre sera vide et il y aura un attribut membre supplémentaire montrant range=0-X. Cela indique que le serveur AD essayait de forcer la pagination.

Pour résoudre ce problème, consultez Résolution de la limitation des requêtes utilisateur

Vérification des utilisateurs en double

Lors de l'exécution d'une synchronisation, si l'adresse email de l'utilisateur à provisionner existe déjà dans CMA, le comportement du nouveau provisionnement utilisateur dépendra de la manière dont l'utilisateur en double a été importé vers CMA :

  • Si l'utilisateur en double est LDAP, le nouvel utilisateur LDAP sera provisionné avec succès mais aucune licence SDP ne sera attribuée sur la page Répertoire des utilisateurs.
    Un événement de licence SDP sera généré dans les conditions expliquées ci-dessus.


    Pour résoudre ce problème, modifiez l'adresse email ou le nom d'utilisateur du nouvel utilisateur provisionné ou supprimez l'utilisateur LDAP en double. Ces champs doivent être uniques parmi tous les utilisateurs dans le Service de Répertoire.

  • Si l'utilisateur en double est SCIM, le nouvel utilisateur LDAP ne sera pas provisionné car il ne remplacera pas l'utilisateur provisionné par SCIM comme expliqué dans Passer du provisionnement SCIM au provisionnement LDAP. Pour résoudre ce problème, assurez-vous que l'adresse email de chaque utilisateur est unique et que les utilisateurs et groupes approvisionnés avec LDAP et SCIM ne chevauchent pas les uns avec les autres.
  • Si l'utilisateur en double est manuel, le nouvel utilisateur LDAP ne sera pas provisionné car il ne remplacera pas l'utilisateur provisionné manuellement. Pour résoudre ce problème, assurez-vous que l'adresse email de chaque utilisateur est unique ou supprimez l'utilisateur provisionné manuellement de CMA avant la synchronisation LDAP.

Vérification des licences SDP manquantes

Lors de l'exécution d'une synchronisation, s'il n'y a pas de licences SDP disponibles dans le compte ou pour l'utilisateur et le groupe d'utilisateurs en question, l'utilisateur sera provisionné avec succès mais aucune licence SDP ne sera attribuée sur la page Répertoire des utilisateurs.

Vérifiez qu'une licence SDP est attribuée à l'utilisateur ou à son groupe d'utilisateurs comme expliqué dans Attribution de licences SDP. Si le problème est lié aux licences SDP dans le compte, un événement de licence SDP sera généré comme montré ci-dessous.

Pour résoudre ce problème, consultez Résolution des erreurs de licence SDP

 

Dépannage des utilisateurs provisionnés inattendus

Les utilisateurs LDAP importés peuvent différer de ce qui est configuré dans CMA pour différentes raisons. Cette section explique les scénarios les plus courants qui peuvent expliquer ce comportement.

Champ de groupes d'utilisateurs vide

Comme expliqué dans Importation de Groupes Active Directory, si aucun groupe d'utilisateurs n'est sélectionné sous les paramètres LDAP, la totalité de l'Active Directory est importée. Cela entraînera l'importation de l'ensemble de la base d'utilisateurs dans CMA et l'épuisement des licences utilisateur Cato.

Pour résoudre ce problème, définissez uniquement les groupes LDAP spécifiques que vous souhaitez importer vers Cato et suivez Résolution des erreurs de licence SDP

Vérification des groupes imbriqués

Si après avoir effectué une synchronisation LDAP, vous avez remarqué que certains des utilisateurs provisionnés n'étaient pas définis pour l'importation dans AccessServices de RépertoireLDAP > Groupes d'Utilisateurs, vérifiez ce qui suit :

  • La synchronisation LDAP de Cato scanne les membres de chaque groupe d'utilisateurs défini. Ces groupes peuvent inclure des utilisateurs et également d'autres groupes imbriqués. Dans cet exemple, seul le groupe VPN est défini dans CMA.
  • Vous pouvez vérifier tous les groupes auxquels un utilisateur spécifique appartient depuis la page Membre des Groupes dans CMA.
  • Dans l'exemple ci-dessus, sous-groupe est un groupe imbriqué de groupe VPN donc tout membre de sous-groupe sera importé vers CMA étant donné que Cato importe les groupes imbriqués et leurs utilisateurs s'ils résident au sein d'un Groupe d'Utilisateurs défini. 

 

Résolution des problèmes découverts

Résolution des erreurs d'identifiants LDAP

Confirmez que les champs Login DN et Base DN dans les paramètres LDAP sont corrects en fonction des attributs de l'utilisateur Admin configuré dans Active Directory. 

Pour confirmer le Login DN, exécutez la commande suivante depuis l'invite de commande du DC :

 dsquery user -name <nom d'utilisateur>

La sortie montrera le distinguishedName complet configuré pour l'utilisateur admin qui doit correspondre avec le champ Login DN dans CMA

Si nécessaire, réinitialisez le mot de passe pour l'utilisateur admin sur le Contrôleur de Domaine et assurez-vous qu'il correspond au mot de passe saisi dans CMA.

Résolution des erreurs LDAPS TLS

Si une erreur TLS est envoyée par le serveur LDAP, vous pouvez vérifier Event Viewer de Windows pour plus d'informations. Si elle est envoyée par le PoP, vous pouvez essayer de supprimer puis ré-ajouter le Contrôleur de Domaine concerné sous Services de Répertoire. Cela forcera un ré-établissement de la connexion TLS avec le serveur LDAP. 

Résolution de la limitation des requêtes utilisateur

Comme mentionné dans Synchronisation des Utilisateurs avec LDAP, pour prévenir la désactivation/suppression non souhaitée d'utilisateurs due à cette limitation, vous pouvez personnaliser le nombre maximum d'utilisateurs qui peuvent changer de groupe d'utilisateurs dans une seule synchronisation en configurant l'option "Empêcher la mise à jour de la participation au groupe" dans CMA.

Pour résoudre la réponse de requête vide du Contrôleur de Domaine, vous pouvez suivre ces étapes :

  • Ajustez l'attribut de politique LDAP de Microsoft pour MaxValRange qui contrôle combien de valeurs seront renvoyées. La procédure est expliquée dans cet article MS.
  • Alternativement, la restriction de requête peut être entièrement supprimée comme expliqué dans cet article MS.
  • Si aucun changement n'est autorisé dans Active Directory, la seule alternative est d'utiliser un groupe LDAP avec moins de 1500 attributs pour provisionner les utilisateurs vers Cato.

Résolution des erreurs de licence SDP

Le statut de licences des comptes peut être trouvé sous Administration > License > Utilisateur 

Dans les cas où il n'y a pas de licences suffisantes disponibles, réduisez la portée des utilisateurs et des groupes d'utilisateurs sous Accès > Affectation de Licence. Sinon, consultez votre CSM ou le propriétaire du compte pour acheter des licences SDP supplémentaires.

 

Soumettre des cas au Support de Cato

Soumettez un ticket de support avec les résultats des étapes de dépannage ci-dessus. Veuillez inclure les informations suivantes dans le ticket :

  • Détails du problème rencontré et impact global sur les utilisateurs.
  • Événements de Services de Répertoire liés et le résultat de la synchronisation LDAP manuelle.
  • Fichier de capture PCAP montrant la conversation complète avec le serveur LDAP.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire