Устранение неполадок синхронизации и предоставления LDAP

Обзор

Синхронизация LDAP (Lightweight Directory Access Protocol) и предоставление пользователей являются критически важными компонентами для обеспечения надежного и эффективного доступа к ресурсам. Однако могут возникнуть проблемы, которые нарушают этот процесс, что приводит к проблемам доступа и потенциальным уязвимостям безопасности. Этот план действий направлен на решение обычных проблем синхронизации и предоставления LDAP в Cato и предоставляет решения для их эффективного устранения.

Симптомы

Сбои в синхронизации и предоставлении LDAP могут проявляться различными способами. Администратор может заметить следующие симптомы:

• Сбой синхронизации LDAP
• Пользователям не удается предоставить доступ к Cato
• Неожиданные пользователи предоставлены доступа к Cato

Возможные причины

• Проблемы маршрутизации обратно в Cato
• Неверные или отсутствующие атрибуты пользователя 
• Ошибка LDAP или недоступность сервера LDAP
• Ошибка подключения TLS
• Ассиметричная маршрутизация к серверу LDAP.
• Вложенные группы и пользователи внутри них
• Недостаток доступных лицензий SDP

Устранение проблемы

Шаги по устранению симптомов, с которыми Администратор может столкнуться, перечислены ниже. Эти шаги направлены на выявление возможных причин возникших проблем. Шаги по решению проблемы будут подробно описаны далее в плане действий.

Устранение проблемы сбоев синхронизации LDAP

Ручная синхронизация LDAP может быть запущена нажатием Синхронизировать сейчас в разделе Доступ > Службы каталогов > LDAP. В противном случае, автоматические синхронизации будут предприниматься в 00:00 UTC ежедневно для всей учетной записи, если только учетная запись не отключила ежедневные синхронизации. Этот раздел рассматривает сценарий, когда синхронизация LDAP не завершена.

Запуск теста соединения

Проверьте результат теста подключения непосредственно из Приложения Управления Cato. Тест проверит подключение TCP и связывание LDAP с Контроллером Доменов. Общие проблемы, такие как недействительные учетные данные и сбой сервера могут быть диагностированы с помощью этого инструмента. 

Анализ событий службы каталогов

Сбой синхронизации создаст событие в Cato. Отфильтруйте эти события, выбрав Подтип в Сбой подключения к контроллеру домена и Службы каталогов, как показано на скриншоте ниже. Поле Сообщение события покажет причину сбоя синхронизации.

Анализ ошибок LDAP

Ошибка LDAP, обнаруженная в событии на контроллере домена при попытке синхронизации, может указать на тип проблемы, с которой вы сталкиваетесь. Ошибка, показывающая, что контроллер домена недоступен (код ошибки 81, сервер не работает), указывает на ошибку соединения. См. Устранение проблем с подключением.

Ошибка, возвращающая особенную ошибку LDAP, предполагает, что соединение с сервисом LDAP может быть установлено, но процесс синхронизации не удается в протоколе LDAP. Специфические ошибки LDAP можно исследовать на основе сгенерированного кода ошибки. Вы можете найти этот список ошибок LDAP полезным.

Пример ниже показывает неудачную попытку синхронизации из-за недействительных учетных данных. Чтобы решить эту проблему, продолжайте с Решение ошибок учетных данных LDAP

Устранение проблем с подключением

Для успешного завершения синхронизации требуется двустороннее подключение между Приложением Управления Cato и сервером LDAP. Подтвердите следующее:

1. Сервер Контроллера Доменов должен иметь возможность принимать трафик с IP-адреса LDAP Cato и иметь маршрут обратно в Cato для возврата трафика на этот адрес. Чтобы определить IP-адрес LDAP Cato, см. IP-адрес источника для Приложения Управления Cato (вы должны войти, чтобы просмотреть эту статью).
2. Если ваш Контроллер Доменов находится за соединением IPsec или если вы маршрутизируете только некоторые подсети к сокету, обязательно включите IP-адрес LDAP Cato в вашу конфигурацию маршрутизации VPN-туннеля. Чтобы определить IP-адрес LDAP Cato, см. IP-адрес источника для Приложения Управления Cato (вы должны войти, чтобы просмотреть эту статью).
3. Политики файервола или безопасности на сервере Контроллера Доменов должны позволять двусторонний поток этого трафика.

Для локальных серверов LDAP за площадкой сокета трафик должен быть не только двунаправленным, но и симметричным. Запрос LDAP, инициированный Cato, будет достигать сервера через туннель сокета. Возвращающийся трафик также должен быть маршрутизирован обратно через туннель сокета. Невыполнение этого действия приведет к асимметричному подключению, вызывающему сбой синхронизации.  

Убедитесь в активности внутреннего контроллера домена, проверив значение Последняя активность узла на странице Известные Хосты на сайте. См. Показ Известных Хостов для Площадки

Проблемы с подключением можно дополнительно устранить, запустив захват PCAP на ЛВС сокета, подключенного к серверу DC, выполняя руководство по ручной синхронизации из CMA. Установите фильтр ip.addr==IP-адресадрес Cato LDAP. Некорпорированный трафик LDAP использует порт TCP/389, а зашифрованный LDAP (LDAPS) использует порт TCP/636.

Захват незашифрованного трафика LDAP может облегчить устранение проблемы с синхронизацией, поскольку ответы LDAP могут отображаться в виде открытого текста.

Чтобы переключиться на незашифрованный LDAP, снимите пометку с пункта SSL шифрование в конфигурации Службы каталогов.

Если синхронизации LDAP должны быть зашифрованы SSL, продолжайте с Устранение ошибок TLS.

Устранение ошибок TLS

При выполнении LDAPS сеанс TLS мог бы завершиться неудачей как для точки присутствия Cato, так и для сервера LDAP. Ошибка может быть обнаружена в захвате пакетов, например, Fatal Alert. В приведенном ниже примере точка присутствия закрывает TCP-соединение после получения подтверждения Client Hello, что указывает на проблему с точкой присутствия.

Определите любые ошибки TLS при выполнении LDAPS из захвата пакетов. Чтобы устранить их, продолжайте с Устранение ошибок LDAPS TLS

Устранение проблемы провалившегося предоставления пользователей

Пользователи LDAP могут не быть предоставлены Cato по различным причинам. Этот раздел объясняет наиболее распространенные сценарии, которые могут объяснить такое поведение.

Проверка страницы справочника пользователей

Попробуйте идентифицировать затронутого пользователя на странице Справочник пользователей в разделе Доступ > Пользователи. Определите, отсутствует ли файл:

• Пользователь отсутствует в справочнике пользователей. Если да, проверьте на отсутствующие атрибуты пользователя, настройки синхронизации пользователя, отключенных пользователей, ограничения запросов пользователей и дубликаты пользователей.
• Пользователь был предоставлен без лицензии SDP. Это приведет к тому, что пользователь не сможет подключиться к Cato из клиента Cato SDP. Если это проблема, проверьте на отсутствующие лицензии SDP, отсутствующие атрибуты пользователя и дубликаты пользователей.

Проверка отсутствующих атрибутов пользователя

Атрибуты пользователя могут считаться недействительными или отсутствующими Cato и это может привести к тому, что пользователи не будут предоставлены. Убедитесь, что для пользователя правильно настроены следующие атрибуты:

• Имя и фамилия должны быть настроены для пользователей AD. В противном случае пользователи, у которых отсутствует имя или фамилия, не будут синхронизированы с вашей учетной записью Cato.
• Атрибуты Электронная почта и UPN должны быть определены в следующем формате: user@domain. В противном случае пользователь будет подготавливаться, но не сможет получить назначение лицензии SDP.

Проверка настроек синхронизации пользователей

Изменения пользователей LDAP на контроллере домена могут вызывать значительное количество изменений пользователей в CMA, которые управляются в настройках LDAP. Как объяснено в Обновление сведений о существующих пользователях, параметры Предотвратить удаление или отключение более чем... и Обновить электронные адреса пользователей, до ограничат количество пользователей, которые могут быть удалены, отключены или обновлены для каждой синхронизации.

Если лимит превышен, следующая LDAP синхронизация не удастся, и новые пользователи LDAP не будут предоставлены. Событие Службы каталогов будет сгенерировано, если произойдет вышеописанная проблема.

Чтобы решить эту проблему, снимите галочки с этих параметров, если большое количество изменений пользователей мешает завершению синхронизации.

Проверка отключенных LDAP пользователей

При выполнении синхронизации, если пользователь, который должен быть предоставлен, отключен или срок его действия истек в Active Directory, пользователь не будет предоставлен в CMA. Событие сбоя в CMA не будет.

Подтвердите на контроллере домена, что пользователь включен.

Проверка ограничения запросов пользователей

Microsoft Active Directory LDAP имеет встроенное ограничение, которое позволяет возвращать только объекты с менее чем 1500 атрибутами в одном запросе. Таким образом, когда CMA выполняет LDAP запрос, любые группы с более чем 1500 участников вернут пустой список участников в CMA, что приведет к отключенным/удаленным пользователям в CMA.

Захват PCAP может быть запущен с LAN Socket для проверки, сталкиваетесь ли вы с этим ограничением. Атрибут участника будет пустым, и будет дополнительный атрибут участника, показывающий range=0-X. Это указывает на то, что сервер AD пытался принудительно использовать разбиение на страницы.

Чтобы решить эту проблему, см. Решение ограничений запросов пользователей

Проверка дубликатов пользователей

При выполнении синхронизации, если адрес электронной почты пользователя, который должен быть предоставлен, уже существует в CMA, поведение нового предоставления пользователя будет зависеть от того, как дублированный пользователь был импортирован в CMA:

• Если дублированный пользователь является LDAP, новый пользователь LDAP будет успешно предоставлен, но лицензия SDP не будет назначена на странице Справочник пользователей.
  Событие Лицензии SDP будет сгенерировано в условиях, объясненных выше.
  

  
  Чтобы решить эту проблему, измените адрес электронной почты или имя пользователя нового предоставленного пользователя или удалите дублированного пользователя LDAP. Эти поля должны быть уникальными для всех пользователей в Службе каталогов.

• Если дублированный пользователь является SCIM, новый пользователь LDAP не будет предоставлен, так как он не заменит предоставленного пользователя SCIM, как объяснено в Переход от SCIM к предоставлению LDAP. Чтобы решить эту проблему, убедитесь, что адрес электронной почты каждого пользователя уникален и что пользователи и группы, предоставленные с LDAP и SCIM, не пересекаются.
• Если дублированный пользователь является вручную, новый пользователь LDAP не будет предоставлен, так как он не заменит вручную предоставленного пользователя. Чтобы решить эту проблему, убедитесь, что адрес электронной почты каждого пользователя уникален или удалите вручную предоставленного пользователя из CMA перед синхронизацией LDAP.

Проверка отсутствующих лицензий SDP

При выполнении синхронизации, если в аккаунте или для указанного пользователя и группы пользователей нет доступных лицензий SDP, пользователь будет успешно предоставлен, но лицензия SDP не будет назначена на странице Справочник пользователей.

Убедитесь, что лицензия SDP назначена пользователю или его группе пользователей, как объяснено в Назначение лицензий SDP. Если проблема связана с лицензиями SDP в аккаунте, будет сгенерировано событие лицензия SDP, как показано ниже.

Чтобы решить эту проблему, см. Решение ошибок лицензий SDP

Устранение непредвиденных пользователей

Импортируемые пользователи LDAP могут отличаться от того, что конфигурируется в CMA по различным причинам. Этот раздел объясняет наиболее распространенные сценарии, которые могут объяснить это поведение.

Пустое поле групп пользователей

Как объяснено в Импорт групп Active Directory, если в настройках LDAP не выбраны группы пользователей, будет импортирован весь Active Directory. Это приведет к импорту всей базы пользователей в CMA и исчерпанию лицензий пользователя Cato.

Чтобы решить эту проблему, определите только те конкретные группы LDAP, которые вы хотите импортировать в Cato, и следуйте решению ошибок лицензии SDP

Проверка вложенных групп

Если после выполнения синхронизации LDAP вы заметили, что некоторые предоставленные пользователи не были определены для импорта в Доступ > Службы каталогов > LDAP > Группы пользователей, проверьте следующее:

• Синхронизация Cato LDAP сканирует участников каждой определенной группы пользователей. Эти группы могут включать пользователей, а также другие вложенные группы. В этом примере только группа VPN определена в CMA.
  
• Вы можете проверить все группы, в которые входит конкретный пользователь, на странице Участник групп в CMA.
  
• В приведенном выше примере подгруппа является вложенной группой группы VPN, поэтому любой участник подгруппы будет импортирован в CMA, поскольку Cato импортирует вложенные группы и их пользователей, если они находятся в пределах определенной Группы пользователей. 

Решение обнаруженных проблем

Решение ошибок учетных данных LDAP

Подтвердите, что поля Имя входа DN и Базовый DN в настройках LDAP верны на основе атрибутов пользователя Администратора, настроенных в Active Directory. 

Чтобы подтвердить Имя входа DN, выполните следующую команду из командной строки DC:

 dsquery user -name <username>

Вывод покажет полное distinguishedName, настроенное для пользователя администратора, которое должно совпадать с полем Имя входа DN в CMA

При необходимости сбросьте пароль пользователя администратора на Контроллере домена и убедитесь, что он совпадает с паролем, введенным в CMA.

Решение ошибок LDAPS TLS

Если ошибка TLS отправляется сервером LDAP, вы можете проверить Windows Просмотр событий для получения дополнительной информации. Если это отправлено PoP, вы можете попытаться удалить и добавить снова связанный Контроллер домена в раздел Службы каталогов. Это приведет к повторному установлению TLS-соединения с сервером LDAP. 

Решение ограничения запросов пользователей

Как упоминалось в Синхронизация пользователей с LDAP, чтобы предотвратить нежелательную деактивацию/удаление пользователей из-за этого ограничения, вы можете настроить максимальное количество пользователей, которые могут изменить членство в группе пользователей в одной синхронизации, настроив опцию "Предотвращение обновления членства в группе" в CMA.

Для решения проблемы пустого ответа на запрос от Контроллера домена вы можете следовать этим шагам:

• Отрегулируйте атрибут политики LDAP Microsoft для MaxValRange, который контролирует количество возвращаемых значений. Процедура объяснена в этой статье MS.
• Альтернативно, ограничение запроса может быть полностью удалено, как объяснено в этой статье MS.
• Если изменения в Active Directory не допускаются, единственной альтернативой является использование группы LDAP с менее чем 1500 атрибутами для предоставления пользователей в Cato.

Решение ошибок лицензии SDP

Статус лицензирования аккаунтов можно найти в разделе Администрирование > Лицензия > Пользователь 

В случаях, когда доступных лицензий недостаточно, уменьшите область пользователей и групп пользователей в разделе Доступ > Назначение лицензий. В противном случае свяжитесь с вашим CSM или владельцем аккаунта для покупки дополнительных лицензий SDP.

Отправка заявок в Поддержку Cato

Отправьте тикет поддержки с результатами вышеуказанных шагов по устранению неполадок. Пожалуйста, включите следующую информацию в тикет:

• Сведения о возникшей проблеме и общем воздействии на пользователей.
• Связанные события служб каталогов и результат ручной синхронизации LDAP.
• Файл захвата PCAP, показывающий полный разговор с сервером LDAP.