LDAP故障排除
如果遇到LDAP方面的问题,可以查看设置此事件源的常见问题,以帮助诊断问题。默认情况下,LDAP事件源每24小时只轮询一次,即使在编辑配置后停止并重新启动该源。
因此,通过为每次连接尝试创建一个新源来排除LDAP故障是最简单的,它将立即轮询LDAP,在大约一分钟内导致成功或错误消息。
LDAP问题分为两类:
连接错误
以下是常见的LDAP连接错误代码:
结果代码从LDAP服务器8强认证要求
如果您看到这个错误,请检查您没有使用过期的证书。
结果代码从LDAP服务器12不可用的关键扩展
如果您看到“不可用的关键扩展错误”,或者如果您在InsightIDR主页上的“users”度量下看到的用户比预期的要少,那么您的默认Base DN可能没有指向LDAP树中的正确根节点。
要为您的Base DN找到适当的根节点,请按照说明操作在这里.
Result Code from LDAP server 32 No Such Object
如果您看到一个声明“没有这样的对象”的错误,或者如果您在LDAP数据中看到的用户比预期的要少,那么您的用户概要文件可能存储在组织单元(ou)中,而不是存储在容器中。为了解决这个问题,看如何查找Windows域的Base DN.
Result Code from LDAP server 49无效凭据
如果收到“无效凭据错误”,则事件源配置中提供的用户名和密码无法正确地向LDAP服务器进行身份验证。
要解决此错误,请尝试以下操作:
- 确认您试图进行身份验证的帐户具有执行LDAP查询的适当权限。
- 确保“用户域”字段包含适当的短格式或“2000年以前”格式的名称。例如,如果您的登录域和名称为
ACME \那
,然后ACME
将是用户域。 - 验证用于配置事件源的LDAP凭据是否为低级登录名格式:
域\用户名
.要验证或更改,请转到凭证的设置并编辑指定的凭据。
结果代码从LDAP服务器91(连接错误)
如果看到“在端口389或636上创建连接失败”的错误,则Collector主机无法到达事件源配置中指定的LDAP服务器。
要解决此问题,请尝试以下操作:
- 配置LDAP事件源时,请确保采集器能够通过本地DNS解析服务器主机。如果无法解析主机,请在主机名后输入LDAP服务器的IP地址。
- 如果采集器可以解析主机,但错误仍然存在,则可能存在通过LDAP(端口389)或安全LDAP(端口636)的连接问题。调整防火墙或路由规则,允许采集器和LDAP服务器通过389端口或636端口进行通信。
较低的用户数量
如果您发现InsightIDR在主页上只显示了很少的用户数量,那么您可能遇到了LDAP事件源的问题。当Collector轮询LDAP以获取用户帐户信息时,它可能无法读取域中的所有用户。
要解决此问题,请尝试以下解决方案:
- 在LDAP事件源中,验证为域指定的值是正确的Base DN。看到如何查找Base DN为更多的信息。
- 如果您验证了Base DN是正确的,但在“用户和帐户”页面仍然看到低用户帐户,请在Base DN字段中用相应OU的值为您的域的每个OU添加一个LDAP事件源。
- 验证用于LDAP事件源的凭据是否具有访问和读取域中用户和组对象的所有字段属性的权限。如果没有权限,InsightIDR将无法创建相应的用户帐号记录。
- 验证Collector可以找到User domain字段中列出的Windows域的LDAP参考点。如果不能,请在User domain字段中使用Windows域的“short”或“pre-2000”名称,而不是使用FQDN。
- 验证Collector可以从指定的域控制器读取所有用户对象。如果不能,请指定与您在事件源的Server字段中使用的域控制器不同的域控制器。
这个页面对你有帮助吗?