В этом разделе рассматривается процедура устранения некоторых типовых проблем с подключением LDAP.

Не удается просмотреть подключение

Если вы не можете просмотреть группы и пользователей, в большинстве случаев это может быть связано с проблемами соединения между сервером LDAP и SaltStack Config или недопустимым значением в форме конфигурации LDAP. Выполните следующее.

  1. Убедитесь, что TCP-соединения между SaltStack Config и выбранным портом на сервере LDAP разрешены.
  2. Перепроверьте записи в форме и проверьте синтаксис с помощью сторонней программы. См. раздел Проверка и устранение неполадок с подключением к службе каталогов.
  3. Если ни одно из предыдущих решений не помогло устранить проблему, см. раздел «Прочие проблемы» ниже.
  4. Если ни одно из решений выше не помогло, обратитесь в службу поддержки.

При попытке предварительного просмотра подключения на странице происходит сбой загрузки.

Если процесс загрузки страницы зависает более чем на две минуты, перезапустите службу RaaS, а затем удалите конфигурацию и создайте ее снова. Для этого выполните следующее.

  1. Откройте журнал RaaS.
    tail -f /var/log/raas/raas

    Журнал содержит сообщение об ошибке, аналогичное следующему.

    [ERROR    :256][ForkPoolWorker-2:10253][ldap_preview_background_task(some_uuid)]
Task ldap preview_background_task[some_uuid]raised unexpected: KeyError('ad-1_preview')
  2. Остановите и перезапустите службу RaaS.
    systemctl stop raas
systemctl start raas
  3. Вернитесь в пользовательский интерфейс SaltStack Config и удалите подключение LDAP.
    Примечание:

    Перед удалением можно скопировать записи конфигурации и вставить их в резервный текстовый файл.

  4. Снова создайте конфигурацию LDAP.

Прочие проблемы

Если подключение LDAP уже настроено и сохранено, но пользователи не могут войти в систему или если обнаружены другие проблемы, проверьте журналы raas в режиме расширенной отладки, чтобы определить основную причину.

Чтобы включить расширенную отладку, выполните следующее.

  1. В RaaS откройте /etc/raas/raas.
  2. Внесите следующие изменения.
    • В разделе Loggingoptions раскомментируйте log_file_loglevel:debug.
    • В разделе AD/LDAPdriverconfiguration раскомментируйте log_level и установите значение log_level:EXTENDED.
  3. Остановите и перезапустите службу RaaS.
    systemctl stop raas
systemctl start raas
  4. Просмотрите журнал raas. Описание некоторых типовых сообщений об ошибках см. в разделе Типовые сообщения об ошибках.
    tail -f /var/log/raas/raas

Типовые сообщения об ошибках

Ниже указаны некоторые типовые ошибки, сообщения о которых могут присутствовать в журналах.

  • Неправильные настройки подключения (SSL). Настройте параметры SSL.
    [raas.utils.validation.schemas.settings][DEBUG   :546 ][Webserver:9096]
Error while connecting to AD/LDAP Server. SSL connection issues: socket
ssl wrapping error: [Errno 104] Connection reset by peer
  • Неправильный пароль привязки DN администратора. Проверьте пароль и введите его снова.
    [raas.utils.rpc   ][DEBUG   :284 ][Webserver:9095]
Processed RPC request(129360670417695). Response:
{'riq': 129360670417695, 'ret': None, 'error': {'code': 3004, 'message':
'Request validation failure.', 'detail': {'_schema':
['Credentials are not valid']}}, 'warnings': []}
  • Конфликт создает предварительно заполненный фильтр проверки подлинности привязки DN по умолчанию. Оставьте поле незаполненным или используйте {username} вместо {{username}}.
    Примечание:

    Эта ошибка может происходить, если вы уже сохранили подключение LDAP, но пользователи не могут войти в систему.

    [var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG   :903 ][Webserver:9096]
Running _get_auth_backend_user with this search_filter: (&(objectclass=person)(sAMAccountName={username}))

[var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG   :931 ][Webserver:9096]
Could not find any user using '(&(objectclass=person)(sAMAccountName={username}))'
as the search filter in the ldap backend under the ad-1 configuration.
Trying remote_uid 'None'

[var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG   :963 ][Webserver:9096]
Could not find any user using '(&(objectClass=person)(objectGUID=None))'
as the search filter in the ldap backend under the ad-1 configuration.