In caso di problemi di configurazione della connessione LDAP, questa sezione potrebbe aiutare a risolvere alcuni problemi comuni.
Impossibile visualizzare l'anteprima della connessione
Se non è possibile visualizzare l'anteprima di gruppi e utenti, in molti casi è dovuto a un problema di connessione tra il server LDAP e SaltStack Config o a una voce non valida nel modulo di configurazione LDAP. Provare quanto segue:
- Assicurarsi che le connessioni TCP SaltStack Config alla porta selezionata sul server LDAP siano consentite.
- Controllare attentamente le voci del modulo e convalidare la sintassi utilizzando uno strumento di terze parti. Vedere Come verificare e risolvere i problemi di una connessione al servizio directory
- Se nessuno dei due elementi precedenti consente di risolvere il problema, vedere Altri problemi.
- Se nessuno dei suddetti elementi è utile, contattare il supporto di SaltStack.
Quando si tenta di visualizzare l'anteprima della connessione, la pagina si blocca durante il caricamento
Se il caricamento della pagina si blocca per più di due minuti, riavviare il servizio RaaS, quindi eliminare e creare di nuovo la configurazione, seguendo questi passaggi:
- Aprire il registro di RaaS.
tail -f /var/log/raas/raas
Il registro contiene un errore simile al seguente:
[ERROR :256][ForkPoolWorker-2:10253][ldap_preview_background_task(some_uuid)] Task ldap preview_background_task[some_uuid]raised unexpected: KeyError('ad-1_preview')
- Arrestare e riavviare il servizio RaaS.
systemctl stop raas systemctl start raas
- Tornare all'interfaccia utente di SaltStack Config ed eliminare la connessione LDAP.
Nota:
È consigliabile copiare e incollare le voci di configurazione in un file di testo di backup prima di eliminarle.
- Creare nuovamente la configurazione LDAP.
Altri problemi
Se la connessione LDAP è già stata configurata e salvata ma gli utenti non sono in grado di accedere oppure se si verificano altri problemi, controllare i registri raas
con il debug esteso abilitato per determinare la causa radice.
Per abilitare il debug esteso:
- In RaaS, aprire
/etc/raas/raas
. - Apportare le seguenti modifiche:
- In
Loggingoptions
, rimuovere il commentolog_file_loglevel:debug
- In
AD/LDAPdriverconfiguration
, rimuovere il commentolog_level
e impostare sulog_level:EXTENDED
- In
- Arrestare e riavviare il servizio RaaS.
systemctl stop raas systemctl start raas
- Visualizzare il registro
raas
. Per le descrizioni di alcuni messaggi di errore comuni, vedere Messaggi di errore comuni.tail -f /var/log/raas/raas
Messaggi di errore comuni
Alcuni errori comuni che potrebbero essere visualizzati nei registri sono i seguenti:
- Impostazioni errate per la connessione (SSL). Modificare le impostazioni SSL.
[raas.utils.validation.schemas.settings][DEBUG :546 ][Webserver:9096] Error while connecting to AD/LDAP Server. SSL connection issues: socket ssl wrapping error: [Errno 104] Connection reset by peer
- Password errata per Admin BIND DN. Verificare e immettere nuovamente la password.
[raas.utils.rpc ][DEBUG :284 ][Webserver:9095] Processed RPC request(129360670417695). Response: {'riq': 129360670417695, 'ret': None, 'error': {'code': 3004, 'message': 'Request validation failure.', 'detail': {'_schema': ['Credentials are not valid']}}, 'warnings': []}
- Il filtro Auth DN predefinito precompilato crea un conflitto. Lasciare vuoto il campo oppure utilizzare
{username}
anziché{{username}}
.Nota:Questo errore può verificarsi quando la connessione LDAP è già stata salvata, ma gli utenti non sono in grado di accedere.
[var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG :903 ][Webserver:9096] Running _get_auth_backend_user with this search_filter: (&(objectclass=person)(sAMAccountName={username})) [var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG :931 ][Webserver:9096] Could not find any user using '(&(objectclass=person)(sAMAccountName={username}))' as the search filter in the ldap backend under the ad-1 configuration. Trying remote_uid 'None' [var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG :963 ][Webserver:9096] Could not find any user using '(&(objectClass=person)(objectGUID=None))' as the search filter in the ldap backend under the ad-1 configuration.