Si vous avez des difficultés à configurer votre connexion LDAP, cette section peut vous aider à résoudre quelques problèmes courants.

Je ne peux pas prévisualiser ma connexion

Si vous ne pouvez pas prévisualiser vos groupes et utilisateurs, cela est souvent dû à un problème de connexion entre votre serveur LDAP et SaltStack Config ou à une entrée non valide dans le formulaire de configuration LDAP. Essayez la solution suivante :

  1. Assurez-vous que les connexions TCP de SaltStack Config au port sélectionné sur le serveur LDAP sont autorisées.
  2. Vérifiez à nouveau vos entrées de formulaire et validez la syntaxe à l'aide d'un outil tiers. Consultez Vérification et dépannage d'une connexion au service d'annuaire
  3. Si aucun des éléments précédents ne permet de résoudre le problème, consultez Autres problèmes.
  4. Si aucun des éléments ci-dessus ne vous aide, contactez le support SaltStack.

Lorsque vous essayez de prévisualiser la connexion, la page reste bloquée lors du chargement

Si le chargement de la page reste bloqué pendant plus de deux minutes, redémarrez le service RaaS, puis supprimez et re-créez la configuration, en procédant comme suit :

  1. Ouvrez le journal RaaS.
    tail -f /var/log/raas/raas

    Le journal contient une erreur similaire à ce qui suit :

    [ERROR    :256][ForkPoolWorker-2:10253][ldap_preview_background_task(some_uuid)]
Task ldap preview_background_task[some_uuid]raised unexpected: KeyError('ad-1_preview')
  2. Arrêtez, puis redémarrez le service RaaS.
    systemctl stop raas
systemctl start raas
  3. Revenez à l'interface utilisateur de SaltStack Config et supprimez la connexion LDAP.
    Note :

    Vous pouvez copier et coller vos entrées de configuration dans un fichier texte de sauvegarde avant la suppression.

  4. Recréez la configuration LDAP.

Autres problèmes

Si vous avez déjà configuré et enregistré votre connexion LDAP, mais que les utilisateurs ne peuvent pas se connecter ou si vous rencontrez d'autres problèmes, consultez les journaux de raas en activant au préalable le débogage étendu pour vous aider à déterminer la cause principale.

Pour activer le débogage étendu :

  1. Sur RaaS, ouvrez /etc/raas/raas.
  2. Apportez les modifications suivantes :
    • Sous Loggingoptions, annulez la mise en commentaire de log_file_loglevel:debug
    • Sous AD/LDAPdriverconfiguration, annulez la mise en commentaire de log_level et définissez cette option sur log_level:EXTENDED
  3. Arrêtez, puis redémarrez le service RaaS.
    systemctl stop raas
systemctl start raas
  4. Affichez le journal raas. Pour obtenir une description de certains messages d'erreur courants, consultez Messages d'erreur courants.
    tail -f /var/log/raas/raas

Messages d'erreur courants

Exemples d'erreurs courantes pouvant figurer dans les journaux :

  • Paramètres erronés pour la connexion (SSL). Ajustez vos paramètres SSL.
    [raas.utils.validation.schemas.settings][DEBUG   :546 ][Webserver:9096]
Error while connecting to AD/LDAP Server. SSL connection issues: socket
ssl wrapping error: [Errno 104] Connection reset by peer
  • Mot de passe incorrect pour nom unique de liaison d'administrateur. Vérifiez et entrez à nouveau votre mot de passe.
    [raas.utils.rpc   ][DEBUG   :284 ][Webserver:9095]
Processed RPC request(129360670417695). Response:
{'riq': 129360670417695, 'ret': None, 'error': {'code': 3004, 'message':
'Request validation failure.', 'detail': {'_schema':
['Credentials are not valid']}}, 'warnings': []}
  • Le filtre de nom unique de liaison d'authentification par défaut prérempli crée un conflit. Laissez le champ vide ou utilisez {username} plutôt que {{username}}.
    Note :

    Vous pouvez rencontrer cette erreur lorsque vous avez déjà enregistré votre connexion LDAP, mais que les utilisateurs ne peuvent pas se connecter.

    [var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG   :903 ][Webserver:9096]
Running _get_auth_backend_user with this search_filter: (&(objectclass=person)(sAMAccountName={username}))

[var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG   :931 ][Webserver:9096]
Could not find any user using '(&(objectclass=person)(sAMAccountName={username}))'
as the search filter in the ldap backend under the ad-1 configuration.
Trying remote_uid 'None'

[var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG   :963 ][Webserver:9096]
Could not find any user using '(&(objectClass=person)(objectGUID=None))'
as the search filter in the ldap backend under the ad-1 configuration.