В этом разделе рассматривается процедура устранения некоторых типовых проблем с подключением LDAP.
Не удается просмотреть подключение
Если вы не можете просмотреть группы и пользователей, в большинстве случаев это может быть связано с проблемами соединения между сервером LDAP и SaltStack Config или недопустимым значением в форме конфигурации LDAP. Выполните следующее.
- Убедитесь, что TCP-соединения между SaltStack Config и выбранным портом на сервере LDAP разрешены.
- Перепроверьте записи в форме и проверьте синтаксис с помощью сторонней программы. См. раздел Проверка и устранение неполадок с подключением к службе каталогов.
- Если ни одно из предыдущих решений не помогло устранить проблему, см. раздел «Прочие проблемы» ниже.
- Если ни одно из решений выше не помогло, обратитесь в службу поддержки.
При попытке предварительного просмотра подключения на странице происходит сбой загрузки.
Если процесс загрузки страницы зависает более чем на две минуты, перезапустите службу RaaS, а затем удалите конфигурацию и создайте ее снова. Для этого выполните следующее.
- Откройте журнал RaaS.
tail -f /var/log/raas/raas
Журнал содержит сообщение об ошибке, аналогичное следующему.
[ERROR :256][ForkPoolWorker-2:10253][ldap_preview_background_task(some_uuid)] Task ldap preview_background_task[some_uuid]raised unexpected: KeyError('ad-1_preview') - Остановите и перезапустите службу RaaS.
systemctl stop raas systemctl start raas
- Вернитесь в пользовательский интерфейс SaltStack Config и удалите подключение LDAP.
Примечание:
Перед удалением можно скопировать записи конфигурации и вставить их в резервный текстовый файл.
- Снова создайте конфигурацию LDAP.
Прочие проблемы
Если подключение LDAP уже настроено и сохранено, но пользователи не могут войти в систему или если обнаружены другие проблемы, проверьте журналы raas в режиме расширенной отладки, чтобы определить основную причину.
Чтобы включить расширенную отладку, выполните следующее.
- В RaaS откройте
/etc/raas/raas. - Внесите следующие изменения.
- В разделе
Loggingoptionsраскомментируйтеlog_file_loglevel:debug. - В разделе
AD/LDAPdriverconfigurationраскомментируйтеlog_levelи установите значениеlog_level:EXTENDED.
- В разделе
- Остановите и перезапустите службу RaaS.
systemctl stop raas systemctl start raas
- Просмотрите журнал
raas. Описание некоторых типовых сообщений об ошибках см. в разделе Типовые сообщения об ошибках.tail -f /var/log/raas/raas
Типовые сообщения об ошибках
Ниже указаны некоторые типовые ошибки, сообщения о которых могут присутствовать в журналах.
- Неправильные настройки подключения (SSL). Настройте параметры SSL.
[raas.utils.validation.schemas.settings][DEBUG :546 ][Webserver:9096] Error while connecting to AD/LDAP Server. SSL connection issues: socket ssl wrapping error: [Errno 104] Connection reset by peer
- Неправильный пароль привязки DN администратора. Проверьте пароль и введите его снова.
[raas.utils.rpc ][DEBUG :284 ][Webserver:9095] Processed RPC request(129360670417695). Response: {'riq': 129360670417695, 'ret': None, 'error': {'code': 3004, 'message': 'Request validation failure.', 'detail': {'_schema': ['Credentials are not valid']}}, 'warnings': []} - Конфликт создает предварительно заполненный фильтр проверки подлинности привязки DN по умолчанию. Оставьте поле незаполненным или используйте
{username}вместо{{username}}.Примечание:
Эта ошибка может происходить, если вы уже сохранили подключение LDAP, но пользователи не могут войти в систему.
[var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG :903 ][Webserver:9096] Running _get_auth_backend_user with this search_filter: (&(objectclass=person)(sAMAccountName={username})) [var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG :931 ][Webserver:9096] Could not find any user using '(&(objectclass=person)(sAMAccountName={username}))' as the search filter in the ldap backend under the ad-1 configuration. Trying remote_uid 'None' [var.tmp._MEIBCyG76.raas.mods.auth.ldap][DEBUG :963 ][Webserver:9096] Could not find any user using '(&(objectClass=person)(objectGUID=None))' as the search filter in the ldap backend under the ad-1 configuration.
Эта функция доступна в версии Cloud Identity Premium. Сравнение версий
В случае возникновения неполадок при выполнении запросов LDAP во время и после подключения LDAP-клиента сервис Secure LDAP возвращает коды ошибок. Доступность этих кодов ошибок конечным пользователям через LDAP-клиенты зависит от клиента. Описанные в этой статье коды также заносятся в журналы аудита.
PROTOCOL_ERROR (2)
- Возвращается, если в запросе упоминается неподдерживаемая версия LDAP. Сервис Secure LDAP поддерживает LDAP версии 3.
- Возвращается, если в запросе упоминается неподдерживаемое действие. Google поддерживает следующие действия: Abandon (Отменить), Bind (Привязать), Extended (Расширено) (для StartTLS), Search (Поиск) и Unbind (Отменить привязку). Неподдерживаемые действия: Add (Добавить), Compare (Сравнить), Del (Удалить), Modify (Изменить) и ModifyDn (Изменить уникальное имя).
- Возвращается, если в запросе упоминается неподдерживаемый идентификатор заказа Oid. Действие Extended (Расширено) поддерживается Google только для StartTLS (Oid 1.3.6.1.4.1.1466.20037) через ранее не защищенное подключение.
AUTH_METHOD_NOT_SUPPORTED (7)
- Возвращается, если в запросе Bind упоминается неподдерживаемый метод аутентификации. Google поддерживает методы SIMPLE, SASL PLAIN, and SASL EXTERNAL.
ADMIN_LIMIT_EXCEEDED (11)
- Возвращается при превышении квоты LDAP.о
CONFIDENTIALITY_REQUIRED (13)
- Возвращается, если запрос SASL Bind отправляется через незащищенное подключение.
- Возвращается, если действие Search запрашивает данные, не относящиеся к атрибутам сервера, и выполняется через незащищенное подключение.
NO_SUCH_OBJECT (32)
- Возвращается при поиске несуществующего объекта (например, неизвестного пользователя, группы или организационного подразделения).
- Возвращается при поиске идентификатора пользователя, которого нет в каталоге.
INVALID_DN_SYNTAX (34)
- Возвращается, если уникальное имя некорректно и не поддается анализу JNDI. Подробную информацию можно найти на странице javax.naming.ldap.LdapName (только на английском языке).
- Возвращается, если уникальное имя содержит атрибут со значением, не являющимся строковым. Поддерживаются только строковые значения. Подробную информацию можно найти на странице javax.naming.directory.Attribute (только на английском языке).
INAPPROPRIATE_AUTHENTICATION (48)
- Возвращается, если в запросе Bind указан некорректный сертификат клиента или сертификат с истекшим сроком действия.
- Возвращается, если в запросе SASL PLAIN Bind не указаны или указаны некорректные учетные данные.
INSUFFICIENT_ACCESS_RIGHTS (50)
- Возвращается, если сервис Secure LDAP отключен для LDAP-клиента.
- Возвращается, если у клиента нет лицензии на использование сервиса Secure LDAP.
- Возвращается, если в запросе Bind указан пользователь, у которого нет лицензии на использование сервиса Secure LDAP.
- Возвращается, если в запросе Bind указан отключенный пользователь.
- Возвращается, если в последующем запросе Bind (rebind) указан пользователь, не принадлежащий к организационному подразделению, для которого включена аутентификация в конфигурации Secure LDAP.
- Возвращается, если в запросе SIMPLE Bind не указаны учетные данные (без аутентификации).
UNWILLING_TO_PERFORM (53)
- Возвращается, если в запросе SIMPLE Bind не указаны учетные данные (без аутентификации).
OTHER (80)
- Эта ошибка возвращается при получении неожиданного результата по причине ошибки в коде. Если она у вас возникла, обратитесь в службу поддержки Google Workspace или службу поддержки Cloud Identity Premium.
CANCELED (118)
- Возвращается, если запрос Abandon прервал текущую операцию LDAP.
Эта информация оказалась полезной?
Как можно улучшить эту статью?
Although old, I have encountered the same issue and wanted to provide some insight for future readers.
Part of the problem was out-of-date OpenSSL libraries, 0.9.6 vs 1.0.0 (which worked).
After updating OpenSSL on the server, it was noted that PHP lost support for OpenSSL.
You can check support for modules with the following from the command line:
php -m
Or
echo phpinfo(INFO_MODULES);
From the browser.
Also, there have been a lot of issues with SSL Support for LDAP when using the OCI8/Oracle LDAP libs in my professional experience. On Debian platforms, Libldap-2.4.2-dev packages work best.
Additionally, you should look at the connection logs on the LDAP server. I can almost guarantee that you will see an error referring to SSLv3 and missing a CA for the certificate.
By default, PHP looks for the CA file on UNIX systems in, make sure it is readable by the PHP invoker (user via cli, Apache user, etc..):
/etc/pki/CA
This is not necessarily a PHP issue, but a configuration issue with Secure LDAP. Please see this PHP bug report and this OpenLDAP thread.
The OpenLDAP thread above has a snippet of a working OpenLDAP config for reference.
Some other things to check is your services definitions in /etc/services. Make sure you have the following:
ldaps 636/tcp # LDAP over SSL
ldaps 636/udp
0 Пользователей и 1 Гость просматривают эту тему.
- 16 Ответов
- 20299 Просмотров
При попытке попасть в админку выдает ошибку: Не удается подключиться к серверу LDAP. В чем может быть причина?
Может вы включили плагин атвторизации LDAP вместо стандартного Joomla?
включены несколько. были походу проблемы на сервере — через час все заработало)
Может вы включили плагин атвторизации LDAP вместо стандартного Joomla?
Такая же проблема.Припопытке войти в админ.зону одногосайта пишет «Не удается подключиться к серверу LDAP»
Сайт на локалке.В админку других сайтов вхожу без проблем.Может надо поменять что-то в базе PHP,подскажите.
Плагины для Joomla 2.5 включаются в таблице extensions.
По умолчанию выводится 30 строк. Для просмотра большего количества строк введите число побольше.
Плагины для Joomla 2.5 включаются в таблице extensions.
По умолчанию выводится 30 строк. Для просмотра большего количества строк введите число побольше.
Подскажите новичку,как правильно эти плагины называются и как правильно их включить
Plg_authentication_joomla в колонке enable поставить 1.
Для этого кликнуть слева от поля редактировать и там изменить.
Plg_authentication_joomla в колонке enable поставить 1.
Для этого кликнуть слева от поля редактировать и там изменить.
Плагин Plg_authentication_joomla был включен вместе с двумя другими plg_authentication_gmail,и plg_authentication_ldap.На форуме советовали отключить плагин plg_authentication_ldap,что я и сделал. Но теперь при попытке попасть в админку пишет: Не удалось проверить подлинность: cURL isn’t insalled. Что делать?
Отключить gmail или включить cURL на денвере
Как включить cURL темы были на форуме
Отключить gmail или включить cURL на денвере
Как включить cURL темы были на форуме
На денвере есть еще пару сайтов и все они нормально работают?
Отключить gmail или включить cURL на денвере
Как включить cURL темы были на форуме
Если нетрудно,подскажите.На форуме пока ничего не нашел
Отключить gmail или включить cURL на денвере
Как включить cURL темы были на форуме
При
Отключить gmail или включить cURL на денвере
Как включить cURL темы были на форуме
При отключении gmail при попытке войти в админку пишет:Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте. В базе данных вношу повторно старый пароль и после сохранения,при попытке войти в админку пишет:Database connection error (2): Could not connect to MySQL.
Что делать? Стало еще хуже.
За все время перепробовал следующее.
Сайт на локалке.на Денвере.
После обновления до версии 2.54,через какое -то время стали выскакивать глюки с входом в админку.После перезагрузки все востанавливалось. Последний раз выскачила ошибка:»Не удается подключиться с серверу LDAP».
В Инете советовали отключить плагин авторизации plg_authentication_ldap,что я и сделал,но после этого при попытке попасть в админку пишет: Не удалось проверить подлинность: cURL isn’t insalled.По совету проверил файл PHP ini. В нем
строка extension=php_curl.dll прописана.Пробовал отключать, а затем включать другие плагины авторизации Plg_authentication_joomla , plg_authentication_gmail, ничего не помогает.
При отключении плагтна gmail при попытке войти в админку пишет:Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте. В базе данных вношу повторно старый пароль и после сохранения,при попытке войти в админку пишет:Database connection error (2): Could not connect to MySQL. Вообщем все возвращаю назад и сейчас я могу зайти на сайт.Но при входе админку пишет : «Не удалось проверить подлинность: cURL isn’t insalled».
Что за ерунда? Помогите разобраться?.
Norman
Сообщения: 1
Зарегистрирован: Февраль 2nd, 2012, 7:32 pm
ТУК!ТУК!ТУК! 
Кто-нибудь отзовитесь! !
« Последнее редактирование: 19.06.2012, 18:54:43 от Норман »
Записан
Plg_authentication_joomla в колонке enable поставить 1.
Для этого кликнуть слева от поля редактировать и там изменить.
Проделав эти действия, сразу получилось зайти в админку. Спасибо
Проделав эти действия, сразу получилось зайти в админку. Спасибо
А в какой таблице искать этот плагин? В админку и на сайт по -прежнему войти не могу (белый экран).Я уже сайт повторно перенес на вновь установленную Joomla, но все же интресно, как такие проблемы решать.
Спасибо
На сервере заходить в phpMyAdmin, ищем таблицу _extentions, в ней находим плагин plg_authentication_gmail ставим значение enabled 0, также отключаем плагин plg_authentication_ldap enabled 0, то есть остается только plg_authentication_joomla enabled 1. Если не смогли найти плагины, то походите по страницам в таблице _extentions, так как по умолчанию выдает 30 строк (так у меня по крайней мере), поэтому в моем случае эти плагины на 3 странице. Теперь самое оно чтобы решить ошибки, которые стали у вас появляться: cURL isn’t insalled и Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте, для этого вам в ручную нужно сменить пароль админа — идем в таблицу users — ищем учетную запись админа — заходим в нее — ставим напротив поля password значение «функция» в положение MD5 — напротив указываем новый пароль и сохраняем все это дело. Теперь пробуем сново зайти в панель администратора сайта.
Здравствуйте, по некоторым причинам не было времени в течении лета заниматься сайтом, а когда все же руки дошли, то ПУ оказалась заблоченой (ну с этим все понятно) и появилась проблема с авторизацией на сайте и в ПУ соответственно. Ошибка собственно такая — «Не удается подключиться к серверу LDAP». Искал информацию в интернете по данному поводу, но везде пишут одно и то же, мол Plg_authentication_joomla должен быть вкл. а plg_authentication_gmail и plg_authentication_ldap должны быть выключены, но у меня так изначально и было же, поэтому к сожалению я не знаю что делать, подскажите пожалуйста.
P.S. данная ошибка только у меня, т.е. у супер юзера
Re: Ошибка: Не удается подключиться к серверу LDAP
|
Доброго дня. Помогите решить задачу. Установлена последняя виртуальная машина, установил коробочную демо версию Битрикс24, пытаюсь подружить Битрикс с нашим АД. Получил от админа логин и пароль для чтения из АД, но при проверке соединения выскакивает ошибка : Ошибка соединения к серверу. В нашем домене используется шифрование. Админ говорит что нужны сертификаты. Подскажите какие и куда подсунуть сертификаты? На CentOs, Аpache, Битрикс?
Спасибо. |
|||||||||||||||||||||||||||||
|
А можно подробней про ldaps? |
|
|
Александр, а причем тут это? это протокол который в административной панеле при подключении нужно указать |
|
|
А саму виртуалку нужно вводить в АД, чтоб получить доступ на чтение пользователей и авторизацию из АД? я уже не знаю куда копать, На CentOs, Аpache, Битрикс? В документации написано одно , по факту не работает. Вот хотел протестировать продукт… |
|
|
Пользователь 1944331 Посетитель Сообщений: 56 |
#6 0 17.04.2018 16:10:15
А где именно, что-то не вижу такого протокола? |
||
|
Александр, если его отметить, то скорее всего порт будет 636 |
|
|
Да, если выбрать SSL то будет ldaps, но это не помогает:-( Ошибка соединения к серверу. Может кроме этого, нужно еще что-то делать с CentsOS или Аpache? может к АД нужно виртуалку сначала покдлючить? Может и в этом проблема:
Помогите советом. |
|||
|
и еще вопрос. |
|
|
Пользователь 136059 Гуру Сообщений: 5439 |
#10 0 17.04.2018 17:50:42 Александр 1) Тип подключения — SSL Голосуй за идеи по развитию API Bitrix: |