Podczas konfigurowania usługi Rublon Authentication Proxy w celu integracji z usługą Active Directory (AD), w pliku dziennika usługi Auth Proxy możesz zobaczyć komunikat błędu „User not found in AD”. Ten błąd wskazuje, że usługa Auth Proxy nie może zlokalizować użytkownika w Twoim AD podczas procesu uwierzytelniania. Ten przewodnik pomoże Ci zdiagnozować typowe przyczyny tego błędu i przedstawi rozwiązania, które pomogą go usunąć.
Zrozumienie błędu
Błąd „User not found in AD” zazwyczaj oznacza, że przy użyciu podanego search_dn i logowaniu jako użytkownik określony przez opcję access_user_dn, usługa Auth Proxy nie mogła znaleźć docelowego użytkownika na podstawie określonego username_attribute. Problem ten często wynika z ustawień konfiguracyjnych, a nie z problemów z uprawnieniami.
Typowe przyczyny i rozwiązania
1. Użytkownik dostępu nie ma uprawnień do odczytu drzewa LDAP
Przyczyna: Użytkownik określony przez opcję access_user_dn w pliku konfiguracyjnym usługi Auth Proxy nie ma wystarczających uprawnień do odczytu katalogu LDAP. W rezultacie usługa Auth Proxy nie może znaleźć użytkowników próbujących się zalogować.
Rozwiązanie: Upewnij się, że użytkownik access_user_dn ma uprawnienia do odczytu niezbędnych części katalogu LDAP. Ten użytkownik powinien mieć możliwość wyszukiwania i odczytu wpisów użytkowników w ramach określonego search_dn.
2. Opcja search_dn jest zbyt zawężona
Przyczyna: Opcja search_dn jest ustawiona na nazwę wyróżniającą (DN), która nie obejmuje użytkowników, których próbujesz uwierzytelnić. Ogranicza to zakres wyszukiwania i uniemożliwia usłudze Auth Proxy znalezienie użytkowników.
Rozwiązanie: Ustaw w opcji search_dn szerszą nazwę wyróżniającą (DN), która obejmuje wszystkiche istotnych użytkowników. Dla początkowych konfiguracji zaleca się ustawienie opcji search_dn na wyższy poziom DN (np. dc=example,dc=com) i w razie potrzeby zawężenie go później.
3. Nieprawidłowy atrybut nazwy użytkownika
Przyczyna: Opcja username_attribute nie odpowiada atrybutowi używanemu dla nazw użytkowników w Twojej usłudze Active Directory. Domyślna wartość tej opcji w usłudze Auth Proxy to sAMAccountName, ale Twoja usługa Active Directory może używać innego atrybutu, takiego jak cn lub userPrincipalName.
Rozwiązanie: Zweryfikuj, którego atrybutu użytkownicy używają do logowania. Zaktualizuj opcję username_attribute w pliku konfiguracyjnym usługi Auth Proxy, aby odpowiadał temu atrybutowi.
4. Zbyt restrykcyjne filtry
Przyczyna: Ustawione są dodatkowe opcje, takie jak security_group_dn lub custom_ldap_filter, które dodatkowo zawężają wyniki wyszukiwania. Może to uniemożliwić usłudze Auth Proxy znalezienie użytkowników, jeśli filtry ich wykluczają.
Rozwiązanie: Przy początkowej konfiguracji zalecamy pominięcie lub zakomentowanie opcji security_group_dn i custom_ldap_filter. Dodaj te filtry dopiero po potwierdzeniu, że podstawowe uwierzytelnianie działa poprawnie.
Przykładowa konfiguracja usługi Auth Proxy
Poniżej znajduje się przykład konfiguracji sekcji auth_source w pliku config.yml dla usługi Auth Proxy:
- name: EXAMPLE_AD type: LDAP ip: 10.0.10.5 # Wprowadź tutaj adres IP Twojej usługi AD port: 636 transport_type: ssl search_dn: dc=example,dc=com # Rozpocznij od nazwy wyróżniającej (DN) o szerokim zakresie username_attribute: sAMAccountName # Upewnij się, że ta opcja zgadza się z atrybutem użytkownika w usłudze Active Directory access_user_dn: cn=access_user,dc=example,dc=com # Pełna nazwa wyróżniająca (DN) użytkownika z prawami do odczytu access_user_password: password # Hasło użytkownika z prawami do odczytu
Komentarze:
ip: Zastąp adresem IP swojego serwera AD.
search_dn: Początkowo ustaw na szerokie DN, które obejmuje wszystkich Twoich użytkowników.
username_attribute: Upewnij się, że odpowiada atrybutowi, którego użytkownicy używają do logowania (np. sAMAccountName, cn, userPrincipalName).
access_user_dn: Podaj pełną nazwę wyróżniającą (DN) użytkownika z uprawnieniami do odczytu katalogu LDAP.
access_user_password: Hasło dla użytkownika określonego w opcji access_user_dn.
Dodatkowe wskazówki
Sprawdź uprawnienia: Chociaż problem często związany jest z konfiguracją, upewnij się, że użytkownik access_user_dn ma niezbędne uprawnienia do wyszukiwania i odczytu użytkowników.
Przetestuj łączność LDAP: Użyj narzędzi LDAP, takich jak LDAP Admin, aby przetestować łączność i zweryfikować, czy użytkownik access_user_dn może wyszukiwać użytkowników w ramach określonego search_dn.
Unikaj początkowo filtrów: Nie ustawiaj opcji security_group_dn ani custom_ldap_filter podczas początkowej konfiguracji. Dodaj te filtry później, aby w razie potrzeby doprecyzować kryteria wyszukiwania.
Zweryfikuj atrybuty użytkowników: Upewnij się, że użytkownicy istnieją pod określonym search_dn i że ich atrybut logowania odpowiada username_attribute w Twojej konfiguracji.
Podsumowanie
Dokładne przejrzenie i dostosowanie konfiguracji usugi Auth Proxy pozwoli Ci rozwiązać błąd „User not found in AD”. Zacznij od szerokiego zakresu wyszukiwania i minimalnych filtrów, aby potwierdzić podstawową funkcjonalność, zanim dostosujesz ustawienia do swojego konkretnego środowiska.
Jeśli nadal napotykasz na problemy, oczyść swój plik konfiguracyjny (usuń poufne informacje, takie jak hasła i sekrety) i wyślij go zespołowi technicznemu Rublon Support w celu uzyskania dalszej pomocy.
Przydatne linki
Rublon Authentication Proxy - Dokumentacja
Co należy zrobić przed wysłaniem pliku konfiguracyjnego i pliku(ów) dziennika usługi Rublon Authentication Proxy?
Czy ten artykuł był pomocny?
To wspaniale!
Dziękujemy za opinię
Przepraszamy, że nie udało nam się pomóc!
Dziękujemy za opinię
Wysłano opinię
Doceniamy Twój wysiłek i postaramy się naprawić artykuł