Si tiene problemas para configurar la conexión LDAP, esta sección puede ayudarlo a solucionar algunos problemas comunes.

No puedo obtener una vista previa de la conexión

Si no puede obtener una vista previa de los grupos y los usuarios, esto se debe frecuentemente a un problema de conexión entre el servidor LDAP y SaltStack Config o a una entrada no válida en el formulario de configuración de LDAP. Intente lo siguiente:

  1. Asegúrese de que las conexiones TCP de SaltStack Config al puerto seleccionado en el servidor LDAP estén permitidas.
  2. Vuelva a verificar las entradas del formulario y valide la sintaxis con una herramienta de terceros. Consulte Cómo comprobar y solucionar problemas en una conexión del servicio de directorio
  3. Si ninguno de los pasos anteriores ayuda a resolver el problema, consulte Otros problemas.
  4. Si ninguno de los pasos anteriores ayuda, póngase en contacto con el soporte técnico de SaltStack.

Al intentar obtener una vista previa de la conexión, se bloquea la carga de la página

Si se bloquea la carga de la página durante más de dos minutos, reinicie el servicio RaaS y, a continuación, elimine y vuelva a crear la configuración mediante estos pasos:

  1. Abra el registro de RaaS.
    tail -f /var/log/raas/raas

    El registro contiene un error similar al siguiente:

    [ERROR    :256][ForkPoolWorker-2:10253][ldap_preview_background_task(some_uuid)]
    Task ldap preview_background_task[some_uuid]raised unexpected: KeyError('ad-1_preview')
  2. Detenga y reinicie el servicio RaaS.
    systemctl stop raas
    systemctl start raas
  3. Vuelva a la interfaz de usuario de SaltStack Config y elimine la conexión LDAP.
    Nota:

    Se recomienda copiar y pegar las entradas de la configuración en un archivo de texto de copia de seguridad antes de la eliminación.

  4. Vuelva a crear la configuración de LDAP.

Otros problemas

Si ya configuró y guardó la conexión LDAP, pero los usuarios no pueden iniciar sesión, o si detecta otros problemas, compruebe los registros de raas con la depuración extendida habilitada para determinar la causa principal.

Para habilitar la depuración extendida:

  1. En RaaS, abra /etc/raas/raas.
  2. Realice los siguientes cambios:
    • En Loggingoptions, quite las marcas de comentario de log_file_loglevel:debug.
    • En AD/LDAPdriverconfiguration, quite las marcas de comentario de log_level y establezca log_level:EXTENDED.
  3. Detenga y reinicie el servicio RaaS.
    systemctl stop raas
    systemctl start raas
  4. Vea el registro de raas. Para obtener descripciones de algunos mensajes de error comunes, consulte Mensajes de error comunes.
    tail -f /var/log/raas/raas

Mensajes de error comunes

Algunos errores comunes que se pueden ver en los registros son:

  • Configuración incorrecta para la conexión (SSL). Ajuste la configuración de SSL.
    [raas.utils.validation.schemas.settings][DEBUG   :546 ][Webserver:9096]
    Error while connecting to AD/LDAP Server. SSL connection issues: socket
    ssl wrapping error: [Errno 104] Connection reset by peer
  • Contraseña incorrecta para el DN de enlace de administrador. Verifique y vuelva a introducir la contraseña.
    [raas.utils.rpc   ][DEBUG   :284 ][Webserver:9095]
    Processed RPC request(129360670417695). Response:
    {'riq': 129360670417695, 'ret': None, 'error': {'code': 3004, 'message':
    'Request validation failure.', 'detail': {'_schema':
    ['Credentials are not valid']}}, 'warnings': []}
  • El filtro de DN de enlace de autenticación predeterminado que se rellena automáticamente genera un conflicto. Deje el campo en blanco o utilice {username} en lugar de {{username}}.
    Nota:

    Es posible encontrar este error cuando ya se guardó la conexión LDAP, pero los usuarios no pueden iniciar sesión.

    [var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG   :903 ][Webserver:9096]
    Running _get_auth_backend_user with this search_filter: (&(objectclass=person)(sAMAccountName={username}))
    
    [var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG   :931 ][Webserver:9096]
    Could not find any user using '(&(objectclass=person)(sAMAccountName={username}))'
    as the search filter in the ldap backend under the ad-1 configuration.
    Trying remote_uid 'None'
    
    [var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG   :963 ][Webserver:9096]
    Could not find any user using '(&(objectClass=person)(objectGUID=None))'
    as the search filter in the ldap backend under the ad-1 configuration.