Solução de Problemas de Sincronização e Provisionamento LDAP

Visão Geral

Sincronização do LDAP (Protocolo Leve de Acesso a Diretório) e provisionamento de usuários são componentes críticos para manter acesso seguro e eficiente aos recursos. No entanto, podem surgir problemas que interrompem esse processo, levando a problemas de acesso e vulnerabilidades de segurança potenciais. Este manual visa abordar problemas comuns de sincronização e provisionamento LDAP na Cato, fornecendo soluções para resolvê-los efetivamente.

Sintomas

Falhas na sincronização e provisionamento do LDAP podem se manifestar de várias maneiras. Um administrador pode notar os seguintes sintomas:

• Falha na Sincronização LDAP
• Usuários não conseguem ser provisionados na Cato
• Usuários inesperados são provisionados na Cato

Possíveis Causas

• Problemas de roteamento de volta para Cato
• Atributos de usuário inválidos ou ausentes 
• Erro no LDAP ou servidor LDAP indisponível
• Erro de conectividade TLS
• Roteamento assimétrico para o servidor LDAP.
• Grupos Aninhados e usuários dentro
• Falta de licenças SDP disponíveis

Solução de Problemas da Questão

As etapas para resolver os sintomas que um Administrador pode encontrar estão listadas abaixo. Essas etapas têm o objetivo de identificar causas possíveis para os problemas enfrentados. As etapas de resolução serão destacadas mais adiante neste manual.

Solução de Problemas de Falha de Sincronização LDAP

Sincronização LDAP manual pode ser iniciada clicando em Sincronizar Agora em Acesso > Serviços de Diretório > LDAP. Caso contrário, sincronizações automáticas serão tentadas às 00:00 UTC diariamente para toda a conta, a menos que a conta tenha desativado sincronizações diárias. Esta seção aborda o cenário em que a sincronização LDAP falha em se completar.

Executando o Teste de Conexão

Verifique o resultado do teste de conectividade diretamente do Aplicativo de Gerenciamento Cato. O teste verificará a conectividade TCP e a ligação LDAP com o Controlador de Domínio. Problemas comuns, como credenciais inválidas e servidor inativo podem ser diagnosticados usando esta ferramenta. 

Análise de Eventos de Serviços de Diretório

Uma falha de sincronização gerará um evento na Cato. Filtre esses eventos selecionando Subtipo em Falha de Conectividade do DC e Serviços de Diretório, como mostrado na captura de tela abaixo. O campo Mensagem do Evento mostrará o motivo da falha de sincronização.

Analisando Erros LDAP

Um erro LDAP visto no evento DC ao tentar sincronizar pode implicar o tipo de problema que você está enfrentando. Um erro mostrando que o Controlador de Domínio não pode ser alcançado (código de erro 81, servidor inativo) sugere um erro de conectividade. Consulte Solução de Problemas de Conectividade.

Um erro retornando um erro LDAP específico sugere que a conectividade pode ser feita para o serviço LDAP, mas o processo de sincronização falha dentro do protocolo LDAP. Erros LDAP específicos podem ser investigados com base no código de erro gerado. Você pode achar esta lista de erros LDAP útil.

O exemplo abaixo mostra uma tentativa de sincronização falhada devido a credenciais de login inválidas. Para resolver este problema continue com Resolvendo Erros de Credenciais LDAP

Solução de Problemas de Conectividade

Conectividade bidirecional é necessária entre o Aplicativo de Gerenciamento Cato e o servidor LDAP para que a sincronização seja concluída com sucesso. Confirme o seguinte:

1. O servidor DC deve ser capaz de receber tráfego do endereço IP LDAP da Cato e ter uma rota de volta para Cato para retornar o tráfego para esse endereço. Para identificar o endereço IP LDAP da Cato, consulte Endereço IP de Origem para o Aplicativo de Gerenciamento da Cato (você deve estar logado para visualizar este artigo).
2. Se o seu Controlador de Domínio está atrás de uma conexão IPsec ou se você está roteando apenas algumas sub-redes para o Socket, certifique-se de incluir o endereço IP LDAP da Cato na sua configuração de roteamento do túnel VPN. Para identificar o endereço IP LDAP da Cato, consulte Endereço IP de Origem para o Aplicativo de Gerenciamento da Cato (você deve estar logado para visualizar este artigo).
3. Políticas de firewall ou de segurança no servidor DC devem permitir o fluxo bidirecional desse tráfego.

Para servidores LDAP locais atrás de um site Socket, o tráfego não deve apenas ser bidirecional, mas também simétrico. Uma consulta LDAP iniciada pela Cato chegará ao servidor via túnel socket. O tráfego de retorno também deve ser roteado de volta pelo túnel socket. A falha em fazer isso levará a uma conexão assimétrica, causando uma sincronização malsucedida.  

Confirme a presença do Controlador de Domínio interno verificando o valor Última Atividade do Host na página de Hosts Conhecidos no site. Consulte Mostrando Hosts Conhecidos para um Site

Questões de conectividade podem ser ainda mais investigadas executando uma captura PCAP na LAN do Socket conectado ao servidor DC enquanto se executa uma sincronização manual a partir do aplicativo de gerenciamento Cato. Defina o filtro ip.addr==Endereço IP LDAP da Cato. O tráfego LDAP não criptografado usa a porta TCP/389 e o LDAP criptografado (LDAPS) usa a porta TCP/636.

Capturar tráfego LDAP não criptografado pode facilitar a solução de problemas de sincronização, uma vez que as respostas LDAP podem ser vistas em texto claro.

Para mudar para LDAP não criptografado, desmarque a opção de criptografia SSL na configuração dos Serviços de Diretório.

Se as sincronizações LDAP devem ser criptografadas usando SSL, continue com Solução de problemas de erros TLS.

Solução de problemas de erros TLS

Ao fazer LDAPS, a conversação TLS pode falhar por causa do PoP da Cato ou do servidor LDAP. Um erro pode ser identificado na captura de pacotes, como Alerta Fatal. No exemplo abaixo, o PoP fecha a conexão TCP após receber o Client Hello ACK, o que indica um problema com o PoP.

Identifique erros TLS ao fazer LDAPS a partir da captura de pacotes. Para resolver esses problemas, continue com Resolvendo erros LDAPS TLS

Solução de falha no provisionamento de usuário

Os usuários LDAP podem não ser provisionados para a Cato por diferentes razões. Esta seção explica os cenários mais comuns que podem explicar este comportamento.

Verificando a página Diretório de Usuários

Tente identificar o usuário afetado na página Diretório de Usuários em Acesso > Usuários. Identifique se:

• O usuário está ausente do Diretório de Usuários. Se sim, verifique atributos de usuário ausentes, configurações de sincronização de usuário, usuários desativados, limitações de consulta de usuário e usuários duplicados.
• O usuário foi provisionado sem uma Licença SDP. Isso resultará no usuário não poder se conectar à Cato a partir do Cliente SDP da Cato. Se este for o problema, verifique licenças SDP ausentes, atributos de usuário ausentes e usuários duplicados.

Verificação de atributos de usuário ausentes

Atributos de Usuário podem ser considerados inválidos ou ausentes pela Cato e podem levar a usuários sendo ignorados no provisionamento. Certifique-se de que os seguintes atributos estejam configurados corretamente para o usuário:

• Primeiro e último nomes devem ser configurados para usuários AD. Caso contrário, usuários ausentes de primeiro ou último nome não serão sincronizados com sua conta Cato.
• Os atributos de email e UPN devem ser definidos no seguinte formato: user@domain. Caso contrário, o usuário será provisionado, mas falhará ao obter uma atribuição de Licença SDP.

Verificação das configurações de sincronização de usuários

Mudanças em usuários LDAP no Controlador de Domínio podem desencadear um alto número de modificações de usuários no CMA, que são controladas nas configurações de LDAP. Como explicado em Atualizando os Detalhes dos Usuários Existentes, as opções Prevenir a remoção ou desativação de usuários caso mais de... e Atualizar emails dos usuários, até limitarão o número de usuários que podem ser removidos, desativados ou atualizados em cada sincronização.

Se o limite for excedido, a próxima sincronização LDAP falhará e novos usuários LDAP não serão provisionados. Um evento de Serviços de Diretório será gerado se o problema acima ocorrer.

Para resolver este problema, desmarque essas opções se o alto número de mudanças de usuário estiver impedindo que a sincronização seja concluída.

Verificação de Usuários LDAP Desativados

Ao executar uma sincronização, se o usuário a ser provisionado estiver desativado ou expirado no Active Directory, o usuário não será provisionado no CMA. Não haverá um evento falido no CMA.

Confirme no Controlador de Domínio se o usuário está habilitado.

Verificação de limitação de consulta de usuário

O Microsoft Active Directory LDAP tem uma limitação integrada que permite apenas que objetos com menos de 1500 atributos sejam retornados em qualquer consulta única. Assim, quando o CMA executa a consulta LDAP, quaisquer grupos com mais de 1500 membros retornarão uma lista de membros vazia para o CMA, resultando em usuários desativados/excluídos no CMA.

Uma capture PCAP pode ser executada a partir do LAN do Socket para verificar se você está enfrentando essa limitação. O atributo de membro estará vazio e haverá um atributo de membro adicional mostrando range=0-X. Isso indica que o servidor AD estava tentando forçar a paginação.

Para resolver este problema, consulte Resolvendo Limitação de Consulta de Usuário

Verificação de usuários duplicados

Ao executar uma sincronização, se o endereço de e-mail do usuário a ser provisionado já existir no CMA, o comportamento do novo provisionamento do usuário dependerá de como o usuário duplicado foi importado para o CMA:

• Se o usuário duplicado for LDAP, o novo usuário LDAP será provisionado com sucesso, mas não haverá Licença SDP atribuída na página Diretório de Usuários.
  Um evento de licença SDP será gerado nas condições explicadas acima.
  

  
  Para resolver este problema, modifique o endereço de e-mail ou nome de usuário do novo usuário provisionado ou remova o usuário LDAP duplicado. Esses campos devem ser únicos entre todos os usuários no Serviço de Diretório.

• Se o usuário duplicado for SCIM, o novo usuário LDAP não será provisionado, pois não substituirá o usuário provisionado pelo SCIM conforme explicado em Mudança de Provisionamento de Usuários SCIM para LDAP. Para resolver este problema, verifique se o endereço de e-mail de cada usuário é único e que os usuários e grupos provisionados com LDAP e SCIM não se sobreponham.
• Se o usuário duplicado for manual, o novo usuário LDAP não será provisionado, pois não substituirá o usuário provisionado manualmente. Para resolver este problema, verifique se o endereço de e-mail de cada usuário é único ou remova o usuário provisionado manualmente do CMA antes da sincronização LDAP.

Verificando Licenças SDP Ausentes

Ao executar uma sincronização, se não houver licenças SDP disponíveis na conta ou para o usuário e grupo de usuários em questão, o usuário será provisionado com sucesso, mas não haverá Licença SDP atribuída na página Diretório de Usuários.

Verifique se uma licença SDP é atribuída ao usuário ou ao seu grupo de usuários conforme explicado em Atribuição de Licenças SDP. Se o problema estiver relacionado às licenças SDP na conta, um evento de licença SDP será gerado conforme mostrado abaixo.

Para resolver este problema, consulte Resolvendo Erros de Licença SDP

Diagnosticando Usuários Provisionados Inesperados

Usuários LDAP importados podem diferir do que está configurado no CMA por diferentes razões. Esta seção explica os cenários mais comuns que podem justificar esse comportamento.

Campo de Grupos de Usuários Vazio

Conforme explicado em Importando Grupos do Active Directory, caso nenhum grupo de usuários seja selecionado nas configurações do LDAP, todo o Active Directory será importado. Isso resultará na importação de toda a base de usuários para o CMA e no esgotamento da licença de usuário Cato.

Para resolver este problema, defina apenas os grupos LDAP específicos que deseja importar para o Cato e siga Resolvendo Erros de Licença SDP

Verificação de Grupos Aninhados

Se após realizar uma sincronização LDAP, você notar que alguns dos usuários provisionados não foram definidos para importação em Acesso > Serviços de Diretório > LDAP > Grupos de Usuários, verifique o seguinte:

• A sincronização LDAP da Cato examina os membros de cada grupo de usuários definido. Esses grupos podem incluir usuários e também outros grupos aninhados. Neste exemplo, apenas grupo VPN está definido no CMA.
  
• Você pode verificar todos os grupos aos quais um usuário específico pertence na página Membro dos Grupos no CMA.
  
• No exemplo acima, subgrupo é um grupo aninhado de grupo VPN, por isso qualquer membro de subgrupo será importado para o CMA, uma vez que a Cato importa grupos aninhados e seus usuários se eles residirem dentro de um Grupo de Usuários definido. 

Resolvendo Problemas Descobertos

Resolvendo Erros de Credenciais LDAP

Confirme que os campos DN de Login e DN Base nas configurações do LDAP estão corretos com base nos atributos do usuário Admin configurado no Active Directory. 

Para confirmar o DN de Login, execute o seguinte comando no prompt de comando do DC:

 dsquery user -name <nome>

A saída mostrará o distinguishedName completo configurado para o usuário admin, que deve coincidir com o campo DN de Login no CMA

Se necessário, redefina a senha para o usuário admin no Controlador de Domínio e certifique-se de que coincide com a senha inserida no CMA.

Resolvendo Erros de TLS LDAPS

Se um Erro TLS for enviado pelo Servidor LDAP, você pode verificar o Visualizador de Eventos do Windows para mais informações. Se for enviado pelo PoP, você pode tentar remover e adicionar novamente o Controlador de Domínio relacionado sob Serviços de Diretório. Isso forçará o reestabelecimento da conexão TLS com o servidor LDAP. 

Resolvendo Limitação de Consultas de Usuário

Conforme mencionado em Sincronização de Usuários com LDAP, para evitar a desativação/eliminação indesejada de usuários devido a esta limitação, você pode personalizar o número máximo de usuários que podem mudar de grupo de usuários em uma única sincronização configurando a opção "Impedir atualização da participação em grupos" no CMA.

Para resolver a resposta de consulta vazia do Controlador de Domínio, você pode seguir estas etapas:

• Ajuste o atributo de política LDAP do Microsoft para MaxValRange que controla quantos valores serão retornados. O procedimento é explicado neste artigo da MS.
• Alternativamente, a restrição de consulta pode ser removida inteiramente como explicado neste artigo da MS.
• Se não for permitido fazer alterações no Active Directory, a única alternativa é usar um grupo LDAP com menos de 1500 atributos para provisionar usuários para Cato.

Resolvendo Erros de Licença SDP

O status de licenciamento das contas pode ser encontrado em Administração > Licença > Usuário 

Em casos onde não há licenças suficientes disponíveis, reduza o escopo de usuários e grupos de usuários em Acesso > Atribuição de Licença. Caso contrário, consulte seu CSM ou proprietário da conta para adquirir licenças SDP adicionais.

Submetendo casos para o Suporte Cato

Envie um ticket de suporte com os resultados das etapas de solução de problemas acima. Por favor, inclua as seguintes informações no ticket:

• Detalhes do problema experimentado e impacto geral nos usuários.
• Eventos relacionados dos Serviços de Diretório e o resultado da sincronização manual do LDAP.
• Arquivo de captura PCAP mostrando a conversa completa com o servidor LDAP.