LDAP同步和配置问题排查

概览

LDAP（轻量目录访问协议）同步和用户配置是维护安全有效访问资源的关键组成部分。 然而，可能出现的问题会中断这一过程，导致访问问题和潜在的安全漏洞。 本指南旨在解决Cato中常见的LDAP同步和配置问题，并提供有效的解决方案。

症状

LDAP同步和配置失败可能表现为多种形式。 管理员可能会注意到以下症状：

• LDAP同步失败
• 用户未能配置到Cato
• 意外的用户被配置到Cato

可能原因

• 返回Cato的路由问题
• 用户属性无效或缺失 
• LDAP错误或LDAP服务器不可用
• TLS连接错误
• 对LDAP服务器的非对称路由。
• 嵌套的群组和内部用户
• 缺少可用的SDP许可证

问题排查

管理员可能遇到的症状排查步骤如下。 这些步骤旨在识别面临问题的可能原因。 解决步骤将在指南后面重点介绍。

排查LDAP同步失败

可以通过点击访问权限>目录服务>LDAP下的立即同步来触发手动LDAP同步。 否则，将会在00:00 UTC对整个账户每日尝试自动同步，除非账户已禁用每日同步。 本节讲述了LDAP同步无法完成的情况。

运行连接测试

直接从Cato 管理应用程序验证连接测试结果。 测试将验证与域控制器的TCP连接性和LDAP绑定。 使用此工具可以诊断常见问题，例如凭据无效和服务器宕机。 

目录服务事件分析

同步失败将在 Cato中生成一个事件。 如下面的截图所示，通过在DC 连接失败和目录服务中选择子类型来过滤这些事件。 事件消息字段将显示同步失败的原因。

分析LDAP错误

在尝试同步时，DC事件中看到的LDAP错误可能表明您遇到的问题类型。 显示DC无法到达（错误代码81，服务器宕机）的错误表示连接错误。 请参阅排查连接问题。

显示特定LDAP错误的错误表示可以与LDAP服务建立连接，但同步过程在LDAP协议内失败。 可以根据生成的错误代码调查特定的LDAP错误。 您可能会发现这份LDAP错误列表很有帮助。

下面的示例显示了由于登录凭据无效导致的同步尝试失败。 要解决此问题，请继续解决LDAP凭据错误

排查连接问题

为了成功完成同步，Cato 管理应用程序和LDAP服务器之间需要双向连接性。 请确认以下内容：

1. DC服务器必须能够接收来自Cato LDAP IP地址的流量，并具备返回到Cato的路由以返回该地址的流量。 要识别Cato LDAP IP地址，请参阅Cato 管理应用程序的源IP地址（您必须登录才能查看此文章）。
2. 如果您的域控制器在IPsec连接后面，或者您仅将某些子网路由到Socket，请确保将Cato LDAP IP地址包括在VPN隧道路由配置中。 要识别Cato LDAP IP地址，请参阅Cato 管理应用程序的源IP地址（您必须登录才能查看此文章）。
3. DC服务器上的防火墙或安全策略必须允许此流量的双向流动。

对于在socket站点后的本地LDAP服务器，流量不仅应为双向，还应为对称。 由Cato 发起的LDAP查询将通过socket隧道到达服务器。 返回流量也必须通过socket隧道路由回去。 未能做到这一点将导致连接不对称，导致同步失败。  

通过检查站点上的已知主机页面中的最后主机活动值来确认内部域控制器的存活状态。 请参阅显示站点的已知主机

通过在连接到DC服务器的Socket局域网上运行PCAP捕获，同时从Cato 管理应用程序运行手动同步来进一步排查连接问题。 设置过滤器 ip.addr==Cato LDAP IP地址。 未加密的LDAP流量使用端口TCP/389，加密的LDAP（LDAPS）使用端口TCP/636。

捕获未加密的LDAP流量可以方便地解决同步问题，因为LDAP响应可以以明文显示。

要切换到未加密的LDAP，请取消选中目录服务配置下的SSL加密选项。

如果LDAP同步必须进行SSL加密，请继续排查TLS错误。

排查TLS错误

在进行LDAPS时，TLS会话可能会因Cato网络接入点或LDAP服务器而失败。 可以在数据包捕获中识别错误，例如致命警报。 在下面的示例中，在收到客户端Hello ACK后，网络接入点关闭TCP连接，这表明网络接入点存在问题。

在进行LDAPS时，请从数据包捕获中识别任何TLS错误。 要解决这些问题，请继续查看解决 LDAPS TLS 错误

排查用户配置失败

由于不同的原因，LDAP 用户可能无法被配置到Cato。 本部分解释了可能导致该行为的最常见情景。

检查用户目录页面

尝试在访问 > 用户下的用户目录页面找到受影响的用户。 确认是否：

• 用户在用户目录中缺失。 如果是这样，请检查缺失的用户属性、用户同步设置、已禁用的用户、用户查询限制 和重复用户。
• 用户已配置但无 SDP 许可证。 这将导致用户无法从 Cato SDP客户端 连接到 Cato。 如果这是问题所在，请检查缺失的 SDP 许可证、缺失的用户属性和重复用户。

检查缺失的用户属性

用户属性可能会被Cato视为无效或缺失，可能导致用户未被配置。 确保为用户正确配置以下属性：

• 必须为 AD 用户配置名字和姓氏。 否则，缺失名字或姓氏的用户将不会同步到您的 Cato 帐户。
• 电子邮件和 UPN 属性必须定义为以下格式：user@domain。 否则，用户会被配置但无法获得 SDP许可证分配。

检查用户同步设置

对域控制器上的 LDAP 用户进行更改可能会在 CMA 中触发大量用户更改，这在 LDAP 设置中进行控制。 如在 更新现有用户详细信息 中所述，选项“防止在同步过程中移除或禁用用户，如果超过...”和“更新用户电子邮件，最多”将限制每次同步过程中可被移除、禁用或更新的用户数。

如果超过限制，下一次 LDAP 同步将失败，新LDAP用户将无法配置。 如上所述问题发生时，将生成一个目录服务事件。

要解决此问题，如果大量用户变更导致同步无法完成，请取消选中这些选项。

检查已禁用的 LDAP 用户

运行同步时，如果要配置的用户在活动目录中已禁用或已过期，则该用户不会被配置到 CMA。 不会在 CMA 中生成失败事件。

确认在域控制器上该用户处于启用状态。

检查用户查询限制

Microsoft Active Directory LDAP 内置限制，在任何单个查询中仅允许返回小于1500个属性的对象。 因此，当 CMA 运行 LDAP 查询时，任何有超过1500个成员的群组将向 CMA 返回空成员列表，导致 CMA 中用户被禁用或删除。

可以从套接字局域网运行PCAP 捕获以验证您是否遇到此限制。 成员属性将为空，并且将有一个附加的成员属性显示range=0-X。 这表示 AD 服务器正在尝试强制分页。

要解决此问题，请参见解决用户查询限制

检查重复用户

运行同步时，如果要配置的用户的电子邮件地址已存在于 CMA 中，新用户配置行为取决于重复用户是如何被导入到 CMA 的：

• 如果重复用户是 LDAP，则新 LDAP 用户将成功配置，但在用户目录页面上不会被分配 SDP许可证。
  在上述条件下，将生成SDP许可证事件。
  

  
  要解决此问题，请修改新配置用户的电子邮件地址或用户名，或移除重复的 LDAP 用户。 这些字段在目录服务中的所有用户中必须是唯一的。

• 如果重复用户是 SCIM，则新 LDAP 用户将不会被配置，因为它不会覆盖 SCIM 配置的用户，详情见从 SCIM 到 LDAP 配置的切换。 要解决此问题，确保每个用户的电子邮件地址是唯一的，并且使用 LDAP 和 SCIM 配置的用户和群组不相互重叠。
• 如果重复用户是手动的，新 LDAP 用户将不会被配置，因为它不会覆盖手动配置的用户。 要解决此问题，确保每个用户的电子邮件地址是唯一的，或在进行 LDAP 同步之前从 CMA中删除手动配置的用户。

检查缺失的 SDP 许可证

运行同步时，如果账户或相关用户和用户组中没有可用的 SDP许可证，用户将成功被配置，但在用户目录页面上不会有 SDP许可证分配。

验证是否按分配 SDP许可证中所述为用户或其所属用户组分配了 SDP许可证。 如果问题与账户中的 SDP许可证有关，将生成如下所示的SDP许可证事件。

要解决此问题，请参见解决 SDP 许可证错误

排查意外配置的用户

导入的 LDAP 用户可能由于不同原因与 CMA 中配置的不一致。 本部分解释了可能导致该行为的最常见情景。

空的用户群组字段

如导入活动目录群组中所述，如果在 LDAP 设置中未选择用户群组，则整个活动目录都将被导入。 这将导致整个用户库导入到CMA，并耗尽Cato用户许可证。

要解决此问题，请仅定义您希望导入到Cato的特定LDAP群组，并遵循解决SDP许可证错误

检查嵌套群组

如果在执行LDAP同步后，您发现某些已配置的用户未在访问 > 目录服务 > LDAP > 用户组中定义要导入，请检查以下内容：

• Cato LDAP同步会扫描每个已定义用户组的成员。 这些群组可能包括用户以及其他嵌套群组。 在此示例中，仅VPN群组在CMA中定义。
  
• 您可以从CMA中的群组成员页面中检查特定用户所属的所有群组。
  
• 在上面的示例中，子群组是VPN群组的嵌套群组，因此任何子群组的成员如果位于已定义的用户组内，则将被导入到CMA，因为Cato会导入嵌套群组及其用户。 

解决发现的问题

解决LDAP凭证错误

确认LDAP设置中的登录DN和基础DN字段根据在Active Directory中配置的管理员用户的属性是正确的。 

要确认登录DN，请从DC的命令提示符运行以下命令：

 dsquery user -name <username>

输出将显示为管理员用户配置的完整distinguishedName，其必须与CMA中的登录DN字段匹配

如有必要，重置域控制器上管理员用户的密码，并确保其与CMA中输入的密码匹配。

解决LDAPS TLS错误

如果LDAP服务器发送TLS错误，您可以查看Windows 事件查看器 以获取更多信息。 如果是由PoP发送，您可以尝试删除并 重新添加 相关域控制器到目录服务下。 这将强制重新建立与LDAP服务器的TLS连接。 

解决用户查询限制

如在用户与LDAP同步中所述，为防止由于此限制导致的用户意外停用/删除，您可以通过在CMA中配置“防止更新群组成员”选项来自定义在单次同步中可以更改用户组成员资格的最大用户数。

要解决来自域控制器的空查询响应，您可以按照以下步骤进行：

• 调整Microsoft LDAP策略属性以设置MaxValRange，控制将返回多少值。 此过程在此MS文章中进行了说明。
• 或者，可以完全取消查询限制，具体过程如在此MS文章中所述。
• 如果不允许Active Directory更改，唯一的替代方法是使用少于1500个属性的LDAP群组来将用户预配到Cato。

解决SDP许可证错误

可以在管理 > 许可证 > 用户 选项下找到账户的许可状态 

如果许可证不足，可在访问 > 许可证分配下缩小用户和用户组的范围。 否则，请与您的CSM或账户所有者联系以购买额外的SDP许可证。

提交案例给Cato支持

使用上述故障排除步骤的结果提交支持工单。 请在工单中包括以下信息：

• 所经历问题的详细信息以及对用户的整体影响。
• 相关目录服务事件和手动LDAP同步的结果。
• PCAP捕获文件显示与LDAP服务器的完整对话。