Active Directory連携 トラブルシューティング

こちらのページでは、Active Directory連携に関してよくいただく質問をご紹介します。
ご不明な点がありましたら、ぜひ一度お読みください。

もし解決しない場合は、お気軽にお問い合わせください。

目次:

Q1.AD連携利用中のユーザーがトラスト・ログインにログインしたところ、
  「外部認証システムから応答がありません」とのメッセージが表示され、
  トラスト・ログインにログインできません。

Q2.ADのユーザーがトラスト・ログイン側に同期されません。

Q3.Q2の確認をしましたが、同期ができません。

Q4.ADサーバーへ連携できているか確認したい。

 

よくあるご質問

Q1.AD連携利用中のユーザーがトラスト・ログインにログインしたところ、
  「外部認証システムから応答がありません」とのメッセージが表示され、
  トラスト・ログインにログインできません。

A1.以下の条件にすべて当てはまる場合は、ADコネクタのリスタートを行ってください。

  • ハートビートが来ている
  • ログにエラーがない

 この他に、ユーザー認証処理とユーザー同期処理が同時に実行された際、お客様のAD環境によっては、本事象が発生する場合があることが確認されています。

 その場合は、同期間隔の設定時間を長くいただくことで、ユーザー認証処理とユーザー同期処理が同時に実行される可能性が低くなり、改善する場合があります。

Q2.AD側のユーザーがトラスト・ログイン側に同期されません。

A2.以下の各項目を確認してください。

  1. ADサーバー側
    所属メンバーをダブルクリックし、以下の属性(必須項目)が設定されているか確認してください。
    ・first name
    ・last name
    ・email
    ※「姓」「名」へ全角スペースのみを連携した場合、同期処理全体が失敗することが確認されています。
     
    その際は全角スペースのみのユーザーデータを修正ください。


    mceclip18.png

  2. トラスト・ログイン側
    「ユーザー同期設定」を開き、以下の各項目が正しく設定されているかご確認ください。

    ①読み取り権限のある(LDAPクエリーを実施する)ADユーザーの識別名(DN)が
     「userDN」に正しく入力されているか(図1参照)
    ②読み取り権限のあるADユーザーのパスワードが「userPassword」に正しく入力されているか
    ③「同期元のADドメインユーザーグループ」のトグルのON/OFFは正しく選択されているか
      ・ONの場合:AD側の全ユーザーを同期対象とする
      ・OFFの場合:指定したセキュリティグループのみを同期対象とする
    ④同期のADセキュリティグループの識別名(DN)が、「同期元のADセキュリティグループ」に
     正しく入力されているか(図2参照)

    mceclip19.png

    (図1)
    mceclip20.png

    (図2)
    mceclip21.png

    「同期するAD属性」にてAD側ユーザーの属性とトラログ側の情報のマッピングを設定します。
    各項目に以下の通り入力し、設定を保存します。

    givenName
    sn
    メールアドレス mail


    _____7.PNG

 

Q3.Q2の確認をしましたが、まだユーザー同期ができません。

A3.ログを確認し、エラーがある場合は以下のエラー情報を参照の上、必要な対応を行ってください。ログはコネクターのインストール先ディレクトリにあるlogsというディレクトリに保存されています。

AD コネクターのエラーログファイル保存場所:
logsフォルダ直下のskuidadconnector_yyyymmdd.out.log / skuidadconnector_yyyymmdd.err.log

プログラムのログとなりますので、お客様側での分析が行えない場合には、
弊社へお問い合わせください。その際にはログのご提供をお願いしております。

 

ログで記録されたエラー情報 原因 解決方法
ERROR c.g.i.adconnector.beans.AmqpReceiver - Caught exception when processing SearchOperationRequestMessage message {}
org.springframework.ldap.PartialResultException: nested exception is javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: host.test.com:389 [Root exception is java.net.ConnectException: Connection timed out: connect]]
.....................
Caused by: javax.naming.PartialResultException: null
at com.sun.jndi.ldap.AbstractLdapNamingEnumeration.hasMoreImpl(Unknown Source)
at com.sun.jndi.ldap.AbstractLdapNamingEnumeration.hasMoreReferrals(Unknown Source)
ADコネクターから指定したADドメインコントローラーに接続できない


ADコネクターを設定したPCからADドメインコントローラーへのアクセスができるかを確認してください。

通常はDNSの設定問題、またはファイアウォールに問題があり、お客様のITシステム部門からのサポートが必要です。

 

・通信Portへのアクセスが許可されているかを確認してください。

・ファイアウォールなど通信を阻止する要素を取り除き試してみてください。

・DNSサーバで登録したドメインコントローラーを確認していただき、無効のコントローラー情報が残っていないか確認してください。


Caused by: javax.naming.CommunicationException: host.test.com:389
at com.sun.jndi.ldap.Connection.<init>(Unknown Source)
at com.sun.jndi.ldap.LdapClient.<init>(Unknown Source)
... 25 common frames omitted
Caused byjava.net.ConnectException: Connection refused: connect
at java.net.DualStackPlainSocketImpl.connect0(Native Method)

....

 

ADコネクターから指定したADドメインコントローラーに接続できない

ADコネクターを設定したPCからADドメインコントローラーへのアクセスができるかを確認してください。

通常はDNSの設定問題、またはファイアウォールに問題があり、お客様のITシステム部門からのサポートが必要です。

 

・通信Portへのアクセスが許可されているかを確認してください。

・ファイアウォールなど通信を阻止する要素を取り除き試してみてください。

・DNSサーバで登録したドメインコントローラーを確認していただき、無効のコントローラー情報が残っていないか確認してください。

Caused by: javax.naming.CommunicationException: simple bind failed: host.test.com:389
at com.sun.jndi.ldap.LdapClient.authenticate(Unknown Source)
at com.sun.jndi.ldap.LdapCtx.connect(Unknown Source)
... 25 common frames omitted
Caused by:java.net.SocketException: Connection reset
at java.net.SocketInputStream.read(Unknown Source)
at java.net.SocketInputStream.read(Unknown Source)
at sun.security.ssl.InputRecord.readFully(Unknown Source)
HTTPS接続できない

HTTPS関連の設定を確認し、正しい情報をトラスト・ログインAD管理画面でのプロトコル・ポートに設定してください。

Consumer@108918ab: tags=[{amq.ctag-UrtoGbbFdFfu0c96a-MDVw=connector.inbound}],

channel=Cached Rabbit Channel: AMQChannel(amqp://user_vRu3hYJ5KEcXB2lblJyv_being-group@18.179.80.15:5671/vhost_auuUOeavP1gSAN6Z9VyT_being-group,1),

conn: Proxy@7dc90857 Shared Rabbit Connection: SimpleConnection@4e92d9b7 [delegate=amqp://user_vRu3hYJ5KEcXB2lblJyv_being-group@18.179.80.15:5671/vhost_auuUOeavP1gSAN6Z9VyT_being-group, localPort= 64559],

acknowledgeMode=AUTO local queue size=0

ADコネクターがトラスト・ログインのADサーバーにアクセスできない

ADコネクターをインストールしたPCから、上記2台のサーバへアクセスできるようネットワークを設定をしてください。


WARN c.g.i.a.s.LdapFunctionalityService - Group SearchTerm(dn="CN=SSS,DC=aaa,DC=co,DC=jp",

matchCriteriaIdList=[3ddcf0cb-753a-424b-9349-d893d9bfcff1], staticUserSearchQuery=null) was not found

...

 

UserDNの設定が正しくない

「ユーザー同期設定」画面にある「読み取り権限のあるADユーザー」セクションのUserBase, UserDNを正しく設定してください。

※下記「ADトラブルシューティングの際に役立つコマンド」の「dsquery user "UserDN"」コマンド実施でUserDNの正確性を確認してください。

 

org.springframework.ldap.AuthenticationException:

[LDAP: error code 49 - 80090308: LdapErr: DSID-0C090453, comment: AcceptSecurityContext error, data 52e, v3839 ];

nested exception is javax.naming.AuthenticationException:

[LDAP: error code 49 - 80090308: LdapErr: DSID-0C090453, comment: AcceptSecurityContext error, data 52e, v3839 ]

 

UserDNの設定が正しくない

「ユーザー同期設定」画面にある「読み取り権限のあるADユーザー」セクションのuserDN入力欄に、識別名ではなくuserPrincipalName を指定してください。

・識別名の例:
CN=TrustLogin,DC=globalsign,DC=com

・userPrincipalNameの例:
trustlogin@globalsign.com


WARN c.g.i.a.s.LdapFunctionalityService - Group SearchTerm(dn=CN=aaaaGroupName,OU=OUName,DC=test,DC=com, matchCriteriaIdList=[d125d0db-304b-4e76-a44f-8cebbe912802], staticUserSearchQuery=null) was not found

.....

同期元のADセキュリティグループの設定が正しくない

同期元のADセキュリティグループを正しく設定してください。

※下記「ADトラブルシューティングの際に役立つコマンド」の「dsquery group "GroupDN"」コマンド実施でグループのDNの正確性を確認してください。


エラーメッセージなし

 

同期するAD属性の設定が正しくない

 

同期するAD属性を正しく入力してください。

※通常は下記を入力します。

名:givenName

姓:sn

メールアドレス:mail

 

正しく設定されていれば、AD側のユーザー属性がトラスト・ログインに反映されます。

 

ADトラブルシューティングの際に役立つコマンド

分類
コマンド
 
CMD dsquery user "UserDN"

トラスト・ログインのAD設定画面上に入力された"読み取り権限のあるADユーザー"UserDNの正確性を検証します。

入力したUserDNが正しい場合、入力したUserDNがそのまま表示されます。

CMD1.png

 

入力したUserDNが間違っている場合は、エラーが表示されます。

CMD2.png

CMD dsquery group "GroupDN"

トラスト・ログインのAD設定画面上に入力された"同期元のADセキュリティグループ"の正確性を検証します。

入力したGroupDNが正しい場合は、入力したGroupDNが表示されます。

CMD3.png

 

入力したGroupDNが間違っている場合は、エラーが表示されます。

CMD4.png

 

Q4.ADサーバーへ連携できているか確認したい。

A4.telnet コマンドを利用して2台のADサーバへのアクセス開放情報を確認できます。

telnet a-mq-ad.services.sku.id 5671 [現在停止中]
telnet b-mq-ad.services.sku.id 5671

※telnetを利用できない場合は、こちらのページをご参照の上、telnetを有効にしてください。 

接続できない場合は、接続失敗のエラーメッセージが表示されます。
対象サーバのIPまたはポートの開放状況について、ファイアウォール設定などをご確認ください。
Q401.png

ADサーバー及びポートへの接続ができた場合は、ブランクスクリーンが表示されます。
確認完了後にtelnetのウィンドウを閉じてください。
Q402.png

Active Directory連携 トラブルシューティング

こちらのページでは、Active Directory連携に関してよくいただく質問をご紹介します。
ご不明な点がありましたら、ぜひ一度お読みください。

もし解決しない場合は、お気軽にお問い合わせください。

目次:

Q1.AD連携利用中のユーザーがトラスト・ログインにログインしたところ、
  「外部認証システムから応答がありません」とのメッセージが表示され、
  トラスト・ログインにログインできません。

Q2.ADのユーザーがトラスト・ログイン側に同期されません。

Q3.Q2の確認をしましたが、同期ができません。

Q4.ADサーバーへ連携できているか確認したい。

 

よくあるご質問

Q1.AD連携利用中のユーザーがトラスト・ログインにログインしたところ、
  「外部認証システムから応答がありません」とのメッセージが表示され、
  トラスト・ログインにログインできません。

A1.以下の条件にすべて当てはまる場合は、ADコネクタのリスタートを行ってください。

  • ハートビートが来ている
  • ログにエラーがない

 この他に、ユーザー認証処理とユーザー同期処理が同時に実行された際、お客様のAD環境によっては、本事象が発生する場合があることが確認されています。

 その場合は、同期間隔の設定時間を長くいただくことで、ユーザー認証処理とユーザー同期処理が同時に実行される可能性が低くなり、改善する場合があります。

Q2.AD側のユーザーがトラスト・ログイン側に同期されません。

A2.以下の各項目を確認してください。

  1. ADサーバー側
    所属メンバーをダブルクリックし、以下の属性(必須項目)が設定されているか確認してください。
    ・first name
    ・last name
    ・email
    ※「姓」「名」へ全角スペースのみを連携した場合、同期処理全体が失敗することが確認されています。
     
    その際は全角スペースのみのユーザーデータを修正ください。


    mceclip18.png

  2. トラスト・ログイン側
    「ユーザー同期設定」を開き、以下の各項目が正しく設定されているかご確認ください。

    ①読み取り権限のある(LDAPクエリーを実施する)ADユーザーの識別名(DN)が
     「userDN」に正しく入力されているか(図1参照)
    ②読み取り権限のあるADユーザーのパスワードが「userPassword」に正しく入力されているか
    ③「同期元のADドメインユーザーグループ」のトグルのON/OFFは正しく選択されているか
      ・ONの場合:AD側の全ユーザーを同期対象とする
      ・OFFの場合:指定したセキュリティグループのみを同期対象とする
    ④同期のADセキュリティグループの識別名(DN)が、「同期元のADセキュリティグループ」に
     正しく入力されているか(図2参照)

    mceclip19.png

    (図1)
    mceclip20.png

    (図2)
    mceclip21.png

    「同期するAD属性」にてAD側ユーザーの属性とトラログ側の情報のマッピングを設定します。
    各項目に以下の通り入力し、設定を保存します。

    givenName
    sn
    メールアドレス mail


    _____7.PNG

 

Q3.Q2の確認をしましたが、まだユーザー同期ができません。

A3.ログを確認し、エラーがある場合は以下のエラー情報を参照の上、必要な対応を行ってください。ログはコネクターのインストール先ディレクトリにあるlogsというディレクトリに保存されています。

AD コネクターのエラーログファイル保存場所:
logsフォルダ直下のskuidadconnector_yyyymmdd.out.log / skuidadconnector_yyyymmdd.err.log

プログラムのログとなりますので、お客様側での分析が行えない場合には、
弊社へお問い合わせください。その際にはログのご提供をお願いしております。

 

ログで記録されたエラー情報 原因 解決方法
ERROR c.g.i.adconnector.beans.AmqpReceiver - Caught exception when processing SearchOperationRequestMessage message {}
org.springframework.ldap.PartialResultException: nested exception is javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: host.test.com:389 [Root exception is java.net.ConnectException: Connection timed out: connect]]
.....................
Caused by: javax.naming.PartialResultException: null
at com.sun.jndi.ldap.AbstractLdapNamingEnumeration.hasMoreImpl(Unknown Source)
at com.sun.jndi.ldap.AbstractLdapNamingEnumeration.hasMoreReferrals(Unknown Source)
ADコネクターから指定したADドメインコントローラーに接続できない


ADコネクターを設定したPCからADドメインコントローラーへのアクセスができるかを確認してください。

通常はDNSの設定問題、またはファイアウォールに問題があり、お客様のITシステム部門からのサポートが必要です。

 

・通信Portへのアクセスが許可されているかを確認してください。

・ファイアウォールなど通信を阻止する要素を取り除き試してみてください。

・DNSサーバで登録したドメインコントローラーを確認していただき、無効のコントローラー情報が残っていないか確認してください。


Caused by: javax.naming.CommunicationException: host.test.com:389
at com.sun.jndi.ldap.Connection.<init>(Unknown Source)
at com.sun.jndi.ldap.LdapClient.<init>(Unknown Source)
... 25 common frames omitted
Caused byjava.net.ConnectException: Connection refused: connect
at java.net.DualStackPlainSocketImpl.connect0(Native Method)

....

 

ADコネクターから指定したADドメインコントローラーに接続できない

ADコネクターを設定したPCからADドメインコントローラーへのアクセスができるかを確認してください。

通常はDNSの設定問題、またはファイアウォールに問題があり、お客様のITシステム部門からのサポートが必要です。

 

・通信Portへのアクセスが許可されているかを確認してください。

・ファイアウォールなど通信を阻止する要素を取り除き試してみてください。

・DNSサーバで登録したドメインコントローラーを確認していただき、無効のコントローラー情報が残っていないか確認してください。

Caused by: javax.naming.CommunicationException: simple bind failed: host.test.com:389
at com.sun.jndi.ldap.LdapClient.authenticate(Unknown Source)
at com.sun.jndi.ldap.LdapCtx.connect(Unknown Source)
... 25 common frames omitted
Caused by:java.net.SocketException: Connection reset
at java.net.SocketInputStream.read(Unknown Source)
at java.net.SocketInputStream.read(Unknown Source)
at sun.security.ssl.InputRecord.readFully(Unknown Source)
HTTPS接続できない

HTTPS関連の設定を確認し、正しい情報をトラスト・ログインAD管理画面でのプロトコル・ポートに設定してください。

Consumer@108918ab: tags=[{amq.ctag-UrtoGbbFdFfu0c96a-MDVw=connector.inbound}],

channel=Cached Rabbit Channel: AMQChannel(amqp://user_vRu3hYJ5KEcXB2lblJyv_being-group@18.179.80.15:5671/vhost_auuUOeavP1gSAN6Z9VyT_being-group,1),

conn: Proxy@7dc90857 Shared Rabbit Connection: SimpleConnection@4e92d9b7 [delegate=amqp://user_vRu3hYJ5KEcXB2lblJyv_being-group@18.179.80.15:5671/vhost_auuUOeavP1gSAN6Z9VyT_being-group, localPort= 64559],

acknowledgeMode=AUTO local queue size=0

ADコネクターがトラスト・ログインのADサーバーにアクセスできない

ADコネクターをインストールしたPCから、上記2台のサーバへアクセスできるようネットワークを設定をしてください。


WARN c.g.i.a.s.LdapFunctionalityService - Group SearchTerm(dn="CN=SSS,DC=aaa,DC=co,DC=jp",

matchCriteriaIdList=[3ddcf0cb-753a-424b-9349-d893d9bfcff1], staticUserSearchQuery=null) was not found

...

 

UserDNの設定が正しくない

「ユーザー同期設定」画面にある「読み取り権限のあるADユーザー」セクションのUserBase, UserDNを正しく設定してください。

※下記「ADトラブルシューティングの際に役立つコマンド」の「dsquery user "UserDN"」コマンド実施でUserDNの正確性を確認してください。

 

org.springframework.ldap.AuthenticationException:

[LDAP: error code 49 - 80090308: LdapErr: DSID-0C090453, comment: AcceptSecurityContext error, data 52e, v3839 ];

nested exception is javax.naming.AuthenticationException:

[LDAP: error code 49 - 80090308: LdapErr: DSID-0C090453, comment: AcceptSecurityContext error, data 52e, v3839 ]

 

UserDNの設定が正しくない

「ユーザー同期設定」画面にある「読み取り権限のあるADユーザー」セクションのuserDN入力欄に、識別名ではなくuserPrincipalName を指定してください。

・識別名の例:
CN=TrustLogin,DC=globalsign,DC=com

・userPrincipalNameの例:
trustlogin@globalsign.com


WARN c.g.i.a.s.LdapFunctionalityService - Group SearchTerm(dn=CN=aaaaGroupName,OU=OUName,DC=test,DC=com, matchCriteriaIdList=[d125d0db-304b-4e76-a44f-8cebbe912802], staticUserSearchQuery=null) was not found

.....

同期元のADセキュリティグループの設定が正しくない

同期元のADセキュリティグループを正しく設定してください。

※下記「ADトラブルシューティングの際に役立つコマンド」の「dsquery group "GroupDN"」コマンド実施でグループのDNの正確性を確認してください。


エラーメッセージなし

 

同期するAD属性の設定が正しくない

 

同期するAD属性を正しく入力してください。

※通常は下記を入力します。

名:givenName

姓:sn

メールアドレス:mail

 

正しく設定されていれば、AD側のユーザー属性がトラスト・ログインに反映されます。

 

ADトラブルシューティングの際に役立つコマンド

分類
コマンド
 
CMD dsquery user "UserDN"

トラスト・ログインのAD設定画面上に入力された"読み取り権限のあるADユーザー"UserDNの正確性を検証します。

入力したUserDNが正しい場合、入力したUserDNがそのまま表示されます。

CMD1.png

 

入力したUserDNが間違っている場合は、エラーが表示されます。

CMD2.png

CMD dsquery group "GroupDN"

トラスト・ログインのAD設定画面上に入力された"同期元のADセキュリティグループ"の正確性を検証します。

入力したGroupDNが正しい場合は、入力したGroupDNが表示されます。

CMD3.png

 

入力したGroupDNが間違っている場合は、エラーが表示されます。

CMD4.png

 

Q4.ADサーバーへ連携できているか確認したい。

A4.telnet コマンドを利用して2台のADサーバへのアクセス開放情報を確認できます。

telnet a-mq-ad.services.sku.id 5671 [現在停止中]
telnet b-mq-ad.services.sku.id 5671

※telnetを利用できない場合は、こちらのページをご参照の上、telnetを有効にしてください。 

接続できない場合は、接続失敗のエラーメッセージが表示されます。
対象サーバのIPまたはポートの開放状況について、ファイアウォール設定などをご確認ください。
Q401.png

ADサーバー及びポートへの接続ができた場合は、ブランクスクリーンが表示されます。
確認完了後にtelnetのウィンドウを閉じてください。
Q402.png