В этом разделе рассматривается процедура устранения некоторых типовых проблем с подключением LDAP.
Не удается просмотреть подключение
Если вы не можете просмотреть группы и пользователей, в большинстве случаев это может быть связано с проблемами соединения между сервером LDAP и SaltStack Config или недопустимым значением в форме конфигурации LDAP. Выполните следующее.
- Убедитесь, что TCP-соединения между SaltStack Config и выбранным портом на сервере LDAP разрешены.
- Перепроверьте записи в форме и проверьте синтаксис с помощью сторонней программы. См. раздел Проверка и устранение неполадок с подключением к службе каталогов.
- Если ни одно из этих действий не позволило устранить проблему, обратитесь к разделу Прочие проблемы.
- Если ни одно из этих действий не позволило устранить проблему, обратитесь в службу поддержки SaltStack.
При попытке предварительного просмотра подключения на странице происходит сбой загрузки.
Если процесс загрузки страницы зависает более чем на две минуты, перезапустите службу RaaS, а затем удалите конфигурацию и создайте ее снова. Для этого выполните следующее.
- Откройте журнал RaaS.
tail -f /var/log/raas/raas
Журнал содержит сообщение об ошибке, аналогичное следующему.
[ERROR :256][ForkPoolWorker-2:10253][ldap_preview_background_task(some_uuid)] Task ldap preview_background_task[some_uuid]raised unexpected: KeyError('ad-1_preview')
- Остановите и перезапустите службу RaaS.
systemctl stop raas systemctl start raas
- Вернитесь в пользовательский интерфейс SaltStack Config и удалите подключение LDAP.
Примечание:
Перед удалением можно скопировать записи конфигурации и вставить их в резервный текстовый файл.
- Снова создайте конфигурацию LDAP.
Прочие проблемы
Если подключение LDAP уже настроено и сохранено, но пользователи не могут войти в систему или если обнаружены другие проблемы, проверьте журналы raas
в режиме расширенной отладки, чтобы определить основную причину.
Чтобы включить расширенную отладку, выполните следующее.
- В RaaS откройте
/etc/raas/raas
. - Внесите следующие изменения.
- В разделе
Loggingoptions
раскомментируйтеlog_file_loglevel:debug
. - В разделе
AD/LDAPdriverconfiguration
раскомментируйтеlog_level
и установите значениеlog_level:EXTENDED
.
- В разделе
- Остановите и перезапустите службу RaaS.
systemctl stop raas systemctl start raas
- Просмотрите журнал
raas
. Описание некоторых типовых сообщений об ошибках см. в разделе Типовые сообщения об ошибках.tail -f /var/log/raas/raas
Типовые сообщения об ошибках
Ниже указаны некоторые типовые ошибки, сообщения о которых могут присутствовать в журналах.
- Неправильные настройки подключения (SSL). Настройте параметры SSL.
[raas.utils.validation.schemas.settings][DEBUG :546 ][Webserver:9096] Error while connecting to AD/LDAP Server. SSL connection issues: socket ssl wrapping error: [Errno 104] Connection reset by peer
- Неправильный пароль привязки DN администратора. Проверьте пароль и введите его снова.
[raas.utils.rpc ][DEBUG :284 ][Webserver:9095] Processed RPC request(129360670417695). Response: {'riq': 129360670417695, 'ret': None, 'error': {'code': 3004, 'message': 'Request validation failure.', 'detail': {'_schema': ['Credentials are not valid']}}, 'warnings': []}
- Конфликт создает предварительно заполненный фильтр проверки подлинности привязки DN по умолчанию. Оставьте поле незаполненным или используйте
{username}
вместо{{username}}
.Примечание:Эта ошибка может происходить, если вы уже сохранили подключение LDAP, но пользователи не могут войти в систему.
[var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG :903 ][Webserver:9096] Running _get_auth_backend_user with this search_filter: (&(objectclass=person)(sAMAccountName={username})) [var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG :931 ][Webserver:9096] Could not find any user using '(&(objectclass=person)(sAMAccountName={username}))' as the search filter in the ldap backend under the ad-1 configuration. Trying remote_uid 'None' [var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG :963 ][Webserver:9096] Could not find any user using '(&(objectClass=person)(objectGUID=None))' as the search filter in the ldap backend under the ad-1 configuration.