本文适用于AC对接LDAP认证做事器非常问题:
1、对接LDAP,组织构造不显示LDAP下的组用户
2、对接LDAP,组织构造显示的组/用户名称不对
二、基本原则:
以优先规复客户业务为第一要务,在业务规复后在进行问题缘故原由的排查
告警信息一、业务规复
1、登录掌握台,进入【系统管理】-【系统诊断】-【上网故障打消】中 点击设置并开启,在弹出来页面,勾选数据直通,并且把拦截日志过滤条件、及开启数据直通下面的输入框中都输入须要放通的地址(故障的地址),通过直通放通来规复业务。
开启办法如下图所示。
2、若以上操作无法帮助您快速规复客户业务,请及时网络下列办理方案中的信息找技能支持;
二、可能缘故原由
第三方产品&环境问题
1、AC和ldap做事器通信非常
2、业务同步组织构造的太大导致同步超时(建议修正超时时间不雅观察)
3、AD域不支持过滤通配符
功能配置问题1、管理员账号密码缺点2、过滤条件配置缺点3、AC和AD域对接时加密协议不一致导致(AD域开启SSL或TLS加密时,AC也须要同步开启)
有效排查步骤排查思路
1、检讨管理员账号格式是不是精确的,精确的格式是:账号@域名,示例:administrator@sangfor.com.cn;
2、检讨检讨LDAP的详细参数配置是否精确,管理员密码是不是精确的;
3、检讨第一步中所填写的AD域管理员是否有读取组织构造的权限或者切换administrator测试;
4、建议选择最大的BaseDN;
5、检讨AC与域做事器通信是否正常(ping域IP地址可以成功),路由是否对称(路由的来回路径),AC和AD域交互是否存在第三方设备拦截管控
办理方案联系技能支持建议供应以下信息
1、故障征象描述:
2、故障发生韶光:
3、故障影响范围:
4、故障前做过的操作:
5、设备支配模式及网络拓扑:
6、设备详细版本信息:
7、排查过程的配置截图:
8、如果抓取了数据包供应对应抓包条件和干系数据包文件:
2)排查步骤
步骤一、检讨AC和AD域做事器通讯是否正常
问题描述ldap对接不堪利,用户无法缓存到组织构造
ldap密码认证不堪利
办理方案1、在AC上telnet ldap的端口,看能否通,一样平常情形是389端口。
配置路径【系统管理】-【系统诊断】-【命令掌握台】
2、ldap配置界面测试有效性,看详细提示什么,如果有报错,可以抓包,看域做事器回包的代码是什么。根据详细的提示去确认帐号情形,以下是常见报错配置路径【系统管理】-【系统诊断】-【抓包工具】
3、可以利用第三方工具ldapauthen来测试帐号,确认信息无误,再填写到AC上利用
4、如果帐号没问题,网络也没拦截,可以用第三方工具去登录ldap,看能否正常登录和获取到组织构造和用户,确保帐号权限没问题。
5、检讨AD域是否有安装杀毒软件
已知案例:EDR开启了暴力破解的情形,会谢绝AC发的数据包。
AC做AD域密码认证,常常会涌现AC无法访问AD域的情形,ping AD域也不通,抓包看便是AD域不回包。
通过排查EDR管理真个日志,创造是EDR开启了暴力破解功能,拦截了AC。
办理办法:在EDR的管理端对AC的IP加白名单
步骤二、检讨参数是否配置精确
问题描述先通过ldap admin工具连接客户的域,然后核对参数。如果处理非AD域的问题,必须要进行这一步排查
ldapbroswer工具利用方法http://tskb.sangfor.com/forum.php?mod=viewthread&tid=19371&is_note=1
办理方案1、组织单位过滤检讨
(|(objectClass=organizationalUnit)(objectClass=organization)(objectClass=domain)(objectClass=domainDNS)(objectClass=container))
以上是默认的参数,如果客户域上的组织构造属性是其他参数,那么就须要手动修正了
2、用户过滤检讨
用户过滤默认是根据user和person去对应的,如果客户的域用户属性是其他的,就须要手动添加或者修正。
例如客户的域用户属性是objectClass=fixuser,那么就可以把AC对应的参数改成
(objectClass=fixuser)
3、安全组同理。
详细内容可以看以下文档
https://bbs.sangfor.com.cn/forum.php?mod=attachment&aid=MTA3OTkwNXw5MDU3MjMzZHwxNjgzMzUxNjk1fDB8MjIxOTM3
详情查看:
https://bbs.sangfor.com.cn/plugin.php?id=case_databases:note_detail¬e_id=25147
