Введение
При добавлении источника идентификации типа Active Directory рекомендуется используя кнопку "Проверить связь с сервером" убедиться в возможности корректного взаимодействия до проверки подключения реальным клиентским устройством.
В ответе выводиться результат попытки подключения в котором содержится информация о попытке подключения по протоколу LDAP и протоколу netlogon с результатом для каждой попытки подключения.
Подробно настройка взаимодействия с Active Directory описана в разделе v0.8_4.1 Пример настройки интеграции с Active Directory.
Ниже приведен пример настроек источника идентификации типа Active Directory:
Далее перечислены возможные ошибки и способы их решения при нажатии кнопки "Проверить связь с сервером".
Ошибка DNS_NO_SERVER_TO_AUTHORITY - 00000008:No servers to authority in domain
Данная ошибка как правило возникает в двух случаях:
- Неправильно указано имя домена (или предпочитаемого контроллера домена для обращений) в блоке "Подключение" в поле
FQDN. Требуется проверить правильность заполнения данного поля. - DNS-сервер используемый хостом на котором установлен NAICE не может выполнить разрешение доменных имен.
Необходимо проверить, что DNS-имена домена, серверов AD и SRV-запросы резолвятся через DNS-запросы. Для этого необходимо подключиться по SSH к серверу и используя утилиту dig, входящую в состав ОС LInux проверить возможность разрешения доменных имен.
Проверка возможности разрешения имени домена:
dig <FQDN имя домена> | grep 'ANSWER SECTION' -A 10
Проверка возможности разрешения имени контроллера домена:
dig <FQDN имя контроллера домена> | grep 'ANSWER SECTION' -A 10
Проверка возможности разрешения SRV-запроса (запрос списка контроллеров обслуживающих домен):
dig srv _ldap._tcp.dc._msdc.<FQDN имя домена>
Необходимо убедиться, что все запросы выполняются успешно, возвращаются корректные IP-адреса, список контроллеров обслуживающих домен.
Необходимо убедиться, что DNS-сервер, указанный в настройках хоста на котором установлен NAICE доступен и способен выполнять разрешение данных запросов.
Как правило для корректной работы требуется указать DNS-сервер (один или несколько) обслуживающий Active Directory.
Если настройки используемого DNS-сервера были изменены после установки NAICE требуется выполнить перезапуск NAICE.
Для этого надо зайти в папку установки NAICE (по умолчанию /etc/docker-naice):
cd /etc/docker-naice/
И выполнить команду:
sudo docker compose down && sudo docker compose up -d
Ошибка NT_STATUS_LOGON_FAILURE - C000006D:Logon failure: unknown user name or bad password
Требуется проверить корректность заполнения в блоке "Подключение" поля "Имя домена" и исправить его. В данном поле указывается короткое имя домена, в котором будет выполняться авторизация, без указания полного имени.
Ошибка NT_STATUS_NO_TRUST_SAM_ACCOUNT - C000018B:The SAM database on the Windows NT Server does not have a computer account for this workstation trust relationship
- Требуется проверить корректность заполнения в блоке "Подключение" поля "
Имя компьютера". - Требуется убедиться что в домен, в котором будет выполняться авторизация данный компьютер добавлен с тем же именем.
- Указывается только имя компьютера, без указания доменной части.
- Если имя компьютера в формате "domain-name" и "пред Windows 2000" различаются - необходимо использовать имя в формате "пред Windows 2000".
NAICE не выполняет добавления компьютера автоматически! Это должен сделать администратор домена.
Ошибка NT_STATUS_ACCESS_DENIED - C0000022:Access is denied
- Требуется проверить корректность заполнения в блоке "Подключение" поля "
Пароль компьютера". - Требуется убедиться, что пароль компьютера задан, при необходимости задать его повторно.
Ошибка NT_STATUS_NO_SUCH_USER - C0000064:The specified user does not exist
- Требуется проверить корректность заполнения в блоке "Подключение" поля "
Admin dn". - Требуется убедиться, что пользователь существует в Active Directory в домене, в котором планируется выполнять авторизацию.
Логин пользователя может быть задан в форматах:
- sAMAccountName: <имя пользователя>
- userPrincipalName: <имя пользователя>@<FQDN>
- Пред Windows 2000: <Domain-name>\<имя пользователя>
Ошибка NT_STATUS_WRONG_PASSWORD - C000006A:The specified network password is not correct
- Требуется проверить корректность заполнения в блоке "Подключение" поля "
Admin password". - При необходимости повторно задать пароль пользователя средствами администрирования
Active Directory.
Ошибка Не удалось подключиться к источнику идентификации
в данной ошибке видно, что не удалось выполнить подключение по протоколу LDAP, в то время как аутентификация netlogon выполнена успешно.
- Требуется проверить корректность заполнения в блоке "Подключение" поля "
Port". - Проверить, что указанный в настройке порт доступен с сервера на котором установлен NAICE.
- Требуется проверить корректность заполнения в блоке "Структура каталога" поля "Subject search base".
- Требуется проверить корректность заполнения в блоке "Структура каталога" поля "
Group search base".
Ошибка Invalid NTStatusCode
Данная ошибка сообщает о невозможности авторизации в Active Directory по протоколу netlogon и требует анализа настроек групповых политик и ограничений методов авторизации со стороны Active Directory.
В данном примере ошибка вызвана включением настройки "Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене" с опцией "Запретить все" в групповой политике Active Directory.