LDAP同期およびプロビジョニングのトラブルシューティング

概要

LDAP (軽量ディレクトリアクセスプロトコル) の同期とユーザーのプロビジョニングは、リソースへの安全で効率的なアクセスを維持するための重要なコンポーネントです。 しかし、このプロセスを中断する問題が発生する可能性があり、アクセスの問題やセキュリティの脆弱性の原因となることがあります。 このプレイブックは、カトにおける一般的なLDAP同期およびプロビジョニングの問題に対処し、それらを効果的に解決するためのソリューションを提供することを目的としています。

症状

LDAP同期とプロビジョニングの失敗は、さまざまな形で現れることがあります。 管理者は次の症状に注意することがあります：

• LDAP同期の失敗
• ユーザーがカトにプロビジョニングされない
• 予期しないユーザーがカトにプロビジョニングされる

可能な原因

• カトへのルーティングの問題
• 無効または欠落しているユーザー属性 
• LDAPエラーまたは利用できないLDAPサーバー
• TLS接続エラー
• LDAPサーバーへの非対称ルーティング。
• ネストされたグループとその中のユーザー
• 利用可能なSDPライセンスの不足

問題のトラブルシューティング

管理者が遭遇する可能性のある症状をトラブルシューティングするための手順は以下の通りです。 これらのステップは、直面している問題の可能な原因を特定するためのものです。 解決手順は後のプレイブックでハイライトされます。

LDAP同期失敗のトラブルシューティング

手動LDAP同期は、アクセス > ディレクトリサービス > LDAP の下にある今すぐ同期するをクリックすることでトリガーできます。 それ以外の場合、アカウントが毎日の同期を無効にしていない限り、00:00UTCにアカウント全体に対して毎日自動同期が試行されます。 このセクションでは、LDAP同期が完了しないシナリオに対処します。

接続性テストの実行

Cato管理画面から直接接続性テスト結果を確認します。 テストは、ドメインコントローラーとのTCP接続性とLDAPバインディングを検証します。 無効な資格情報やサーバーダウンなどの一般的な問題をこのツールを使用して診断できます。 

ディレクトリサービスイベントの分析

同期失敗はカトでイベントを生成します。 以下のスクリーンショットのように、DC接続の失敗とディレクトリサービスでサブタイプを選択してこれらのイベントをフィルタリングします。 イベントメッセージフィールドには同期失敗の理由が表示されます。

LDAPエラーの分析

同期を試みる際にDCイベントで確認済みのLDAPエラーは、あなたが経験している問題のタイプを示唆することがあります。 DCが到達できないことを示すエラー（エラーコード81、サーバーダウン）は、接続エラーを示唆します。 接続問題のトラブルシューティングを参照してください。

特定のLDAPエラーを返すエラーは、LDAPサービスへの接続が可能であるが、LDAPプロトコル内で同期プロセスが失敗していることを示しています。 特定のLDAPエラーは生成されたエラーコードに基づいて調査することができます。 このLDAPエラーのリストがお役に立つかもしれません。

以下の例は、無効なログイン資格情報が原因で同期が失敗した場合を示しています。 この問題を解決するには、LDAP資格情報エラーの解決を続行してください

接続問題のトラブルシューティング

同期を正常に完了するためには、Cato CMAとLDAPサーバー間の双方向の接続性が必要です。 以下を確認してください：

1. DCサーバーはCato LDAP IPアドレスからのトラフィックを受信可能で、そのアドレスに戻るためのルートを持っている必要があります。 Cato LDAP IPアドレスを識別するには、Cato管理アプリケーションの送信元IPアドレスを参照してください（この記事を閲覧するにはサインインが必要です）。
2. ドメインコントローラーがIPsec接続の背後にある場合、または一部のサブネットのみをソケットにルーティングしている場合、VPNトンネルルーティング設定にCato LDAP IPアドレスを含めることを確認してください。 Cato LDAP IPアドレスを識別するには、Cato管理アプリケーションの発信元IPアドレスを参照してください（この記事を見るにはサインインが必要です）。
3. DCサーバー上のファイアウォールまたはセキュリティポリシーが、このトラフィックの双方向の流れを許可する必要があります。

ソケットサイトの背後にあるローカルLDAPサーバーについては、トラフィックが双方向であるだけでなく、対称的であるべきです。 Catoが開始したLDAPクエリはソケットトンネルを経由してサーバーに到達します。 戻ってくるトラフィックもソケットトンネルを経由してルーティングされなければなりません。 これを行わないと、非対称接続が発生し、同期が失敗することになります。  

サイトの既知のホストページから最後のホスト活動値を確認し、内部ドメインコントローラの生存を確認してください。 サイトの既知のホストを表示する参照

接続性の問題は、CMAから手動同期を実行中に、DCサーバーに接続済みのソケットLANでPCAPキャプチャを実行することによってさらにトラブルシューティングできます。 フィルタを設定 ip.addr==Cato LDAP IPアドレス。 暗号化されていないLDAPトラフィックはポートTCP/389を使用し、暗号化されたLDAP（LDAPS）はポートTCP/636を使用します。

暗号化されていないLDAPトラフィックをキャプチャすることで、同期の問題のトラブルシューティングを容易にすることができ、LDAP応答が平文で表示されることがあります。

暗号化されていないLDAPに切り替えるには、ディレクトリサービスの設定の下でSSL暗号化オプションのチェックを外します

LDAPの同期がSSL暗号化されている必要がある場合は、TLSエラーのトラブルシューティングを続行します

TLSエラーのトラブルシューティング

LDAPSを行う際、TLS通信はCato PoPまたはLDAPサーバーにより失敗する可能性があります。 パケットキャプチャで致命的アラートのようなエラーを識別できます。 下の例では、クライアントハローACKを受け取った後、PoPがTCP接続を閉じてPoPに問題があることを示しています。

パケットキャプチャからLDAPSを実行するときにTLSエラーを特定します。 これを解決するには、LDAPS TLSエラーの解決を続行します

ユーザープロビジョニング失敗のトラブルシューティング

さまざまな理由により、LDAPユーザーがCatoにプロビジョニングされないことがあります。 このセクションでは、この動作を説明する最も一般的なシナリオを説明します。

ユーザーディレクトリページの確認

アクセス > ユーザーの下のユーザーディレクトリページで影響を受けたユーザーを識別しようと試みます。 以下を確認してください：

• ユーザーがユーザーディレクトリから欠落しています。 その場合、欠落しているユーザー属性、ユーザー同期設定、無効化されたユーザー、ユーザークエリの制限 および重複ユーザーを確認します。
• ユーザーはSDPライセンスなしでプロビジョニングされました。 これにより、ユーザーはSDPクライアントからCatoに接続できなくなります。 これが問題である場合、SDPライセンスが欠落しているか、ユーザー属性が欠落しているか、andユーザーが複製しているかを確認してください。

欠落したユーザー属性を確認中

ユーザー属性はCatoによって無効または欠落として考慮され、ユーザーがプロビジョニングからスキップされる可能性があります。 ユーザーに対して以下の属性が正しく設定されていることを確認してください：

• ADユーザーに対しては、姓と名を設定する必要があります。 そうしないと、姓または名が欠落しているユーザーはCatoアカウントに同期されません。
• 電子メールとUPN属性は、user@domainの形式で定義されなければなりません。 そうしないと、ユーザーがプロビジョニングされても、SDPライセンス割り当てを受けられません。

ユーザーの同期設定を確認中

ドメインコントローラー上のLDAPユーザーの変更は、LDAP設定で制御されるCMAで多数のユーザー変更をトリガーする可能性があります。 既存ユーザーの詳細を更新 に記載されているように、これを超える場合、ユーザの削除や無効化を防ぎますおよびユーザーのメールアドレスを更新、最大のオプションは、各同期で削除、無効化、または更新できるユーザーの数を制限します。

制限が超過されると、次のLDAP同期が失敗し、新しいLDAPユーザーのプロビジョニングが失敗します。 上記の問題が発生した場合、ディレクトリサービスイベントが生成されます。

この問題を解決するには、ユーザー変更の数が多すぎて同期が完了しない場合、これらのオプションのチェックを外します。

無効なLDAPユーザーを確認中

同期を実行する際、Active Directoryで無効または期限切れのユーザーはCMAにプロビジョニングされません。 CMAでは失敗したイベントはありません。

ドメインコントローラでユーザーが有効であることを確認してください。

ユーザークエリ制限を確認中

Microsoft Active Directory LDAPには組み込みの制限があり、1500属性より少ないオブジェクトしか単一のクエリで返すことができません。 そのため、CMAがLDAPクエリを実行すると、1500以上のメンバーを持つグループはCMAに空のメンバーリストを返し、CMAでユーザーが無効化または削除されます。

ソケットLANでPCAPキャプチャを実行して、この制限が発生しているかどうかを確認できます。 メンバー属性は空になり、range=0-Xを示す追加のメンバー属性が表示されます。 これは、ADサーバーがページネーションを強制しようとしていたことを示しています。

この問題を解決するには、ユーザークエリ制限の解決を参照してください

重複ユーザーのチェック

同期を実行する際、プロビジョニング中のユーザーのメールアドレスがすでにCMAに存在する場合、新しいユーザープロビジョニングの動作は、重複したユーザーがCMAにどのようにインポートされたかに依存します：

• 重複ユーザーがLDAPの場合、新しいLDAPユーザーは正常にプロビジョニングされますが、ユーザーディレクトリページにはSDPライセンスが割り当てられません。
  これに基づき、上記で説明した条件でSDPライセンスイベントが生成されます。
  

  
  この問題を解決するには、新規にプロビジョニングされたユーザーのメールアドレスかユーザー名を修正するか、重複するLDAPユーザーを削除してください。 これらのフィールドは、ディレクトリサービス内のすべてのユーザーで一意でなければなりません。

• 重複ユーザーがSCIMの場合、新しいLDAPユーザーはプロビジョニングされず、SCIMでプロビジョニングされたユーザーをオーバーライドしません。詳細はSCIMからLDAPプロビジョニングへの変更をご覧ください。 この問題を解決するには、各ユーザーのメールアドレスが一意であり、LDAPとSCIMでプロビジョニングされたユーザーとグループが互いに重ならないようにしてください。
• 重複ユーザーが手動の場合、新しいLDAPユーザーは手動でプロビジョニングされたユーザーをオーバーライドしないため、プロビジョニングされません。 この問題を解決するには、各ユーザーのメールアドレスが一意であることを確認するか、LDAP同期を行う前にCMAから手動でプロビジョニングされたユーザーを削除してください。

SDPライセンスの欠落チェック

同期を実行する際、アカウントや関連するユーザーまたはユーザーグループに利用可能なSDPライセンスがない場合、ユーザーは正常にプロビジョニングされますが、ユーザーディレクトリページにはSDPライセンスが割り当てられません。

SDPライセンスの割り当てに説明されているように、ユーザーまたはそのユーザーグループにSDPライセンスが割り当てられていることを確認してください。 問題がアカウント内のSDPライセンスに関連する場合、以下に示すようにSDPライセンスイベントが生成されます。

この問題を解決するには、SDPライセンスエラーの解決をご覧ください

予期しないプロビジョニング済みユーザーのトラブルシューティング

インポートされたLDAPユーザは、さまざまな理由でCMAで設定されたものと異なる場合があります。 このセクションでは、この動作を説明する可能性のある最も一般的なシナリオを説明します。

空のユーザーグループフィールド

Active Directoryグループのインポートで説明されているように、LDAP設定でユーザーグループが選択されていない場合、Active Directory全体がインポートされます。 これにより、ユーザーベース全体がCMAにインポートされ、Catoユーザーライセンスが枯渇します。

この問題を解決するには、Catoにインポートしたい特定のLDAPグループのみを定義し、SDPライセンスエラーの解決に従ってください

ネストされたグループのチェック

LDAP同期を実行した後、プロビジョニング済みユーザーの一部がアクセス > ディレクトリサービス > LDAP > ユーザグループでインポート用に定義されていないことに気付いた場合、次を確認してください：

• Cato LDAP同期は、各定義されたユーザーグループのメンバーをスキャンします。 これらのグループにはユーザーが含まれる可能性があり、他のネストされたグループも含まれます。 この例では、VPNグループのみがCMAで定義されています。
  
• CMAのグループメンバーページから、特定のユーザーが所属するすべてのグループを確認できます。
  
• 上記の例では、サブグループはVPNグループのネストされたグループであるため、Catoはネストされたグループとそのユーザーをインポートするので、サブグループのメンバーは、定義済みユーザーグループ内にいる限りCMAにインポートされます。 

発見された問題の解決

LDAP認証情報エラーの解決

LDAP設定でのログインDNとベースDNのフィールドが、Active Directoryで設定された管理者ユーザー属性に基づいて正しいことを確認してください。 

ログインDNを確認するには、DCのコマンドプロンプトから次のコマンドを実行します：

 dsquery user -name <ユーザ名>

出力は、管理者ユーザーに設定された完全なdistinguishedNameを示し、これがCMAのログインDNフィールドと一致する必要があります

必要に応じて、ドメインコントローラで管理者ユーザーのパスワードをリセットし、それがCMAに入力されたパスワードと一致することを確認してください。

LDAPS TLSエラーの解決

LDAPサーバーからTLSエラーが送信された場合は、Windowsのイベント閲覧者 でさらに詳しく情報を確認してください。。 PoPから送信された場合、関連するドメインコントローラを削除して再追加することを試みることができます。。 これにより、LDAPサーバーとのTLS接続が再確立されます。 

ユーザクエリ制限の解決

LDAPとのユーザ同期について述べられているように、この制限により不要なユーザーの非アクティブ化/削除を防ぐために、CMAで「グループメンバーシップの更新を防ぐ」オプションを設定して、単一の同期でユーザーグループのメンバーシップを変更できるユーザーの最大数をカスタマイズできます。

ドメインコントローラからの空のクエリ応答を解決するには、次の手順に従います：

• 返される値の数を制御するために、Microsoft LDAPポリシー属性MaxValRangeを調整してください。 この手順はMS記事で説明されています。
• また、このMS記事で説明されているように、クエリ制限を完全に削除することもできます。
• Active Directoryで変更が許可されていない場合、唯一の代替手段は、1500属性未満のLDAPグループを使用してユーザーをCatoにプロビジョニングすることです。

SDPライセンスエラーの解決

アカウントのライセンスステータスは管理系 > ライセンス > ユーザーの下にあります。 

利用可能なライセンスが十分でない場合は、アクセス > ライセンス割り当ての下でユーザーとユーザグループの範囲を縮小します。 そうでない場合は、追加のSDPライセンスを購入するためにCSMまたはアカウント所有者に確認してください。

Catoサポートへのケースの提出

上記のトラブルシューティングステップの結果を含むサポートチケットを提出してください。 チケットに以下の情報を含めてください：

• 経験した問題の詳細とユーザーへの全体的な影響。
• 関連するディレクトリサービスイベントと手動LDAP同期の結果。
• LDAPサーバーとの完全な会話を示すPCAPキャプチャファイル。