こちらのページでは、Active Directory連携に関してよくいただく質問をご紹介します。
ご不明な点がありましたら、ぜひ一度お読みください。
もし解決しない場合は、お気軽にお問い合わせください。
目次: Q1.AD連携利用中のユーザーがトラスト・ログインにログインしたところ、 |
よくあるご質問
Q1.AD連携利用中のユーザーがトラスト・ログインにログインしたところ、
「外部認証システムから応答がありません」とのメッセージが表示され、
トラスト・ログインにログインできません。
A1.以下の条件にすべて当てはまる場合は、ADコネクタのリスタートを行ってください。
- ハートビートが来ている
- ログにエラーがない
この他に、ユーザー認証処理とユーザー同期処理が同時に実行された際、お客様のAD環境によっては、本事象が発生する場合があることが確認されています。
その場合は、同期間隔の設定時間を長くいただくことで、ユーザー認証処理とユーザー同期処理が同時に実行される可能性が低くなり、改善する場合があります。
Q2.AD側のユーザーがトラスト・ログイン側に同期されません。
A2.以下の各項目を確認してください。
- ADサーバー側
所属メンバーをダブルクリックし、以下の属性(必須項目)が設定されているか確認してください。
・first name
・last name
・email
※「姓」「名」へ全角スペースのみを連携した場合、同期処理全体が失敗することが確認されています。
その際は全角スペースのみのユーザーデータを修正ください。 - トラスト・ログイン側
「ユーザー同期設定」を開き、以下の各項目が正しく設定されているかご確認ください。
①読み取り権限のある(LDAPクエリーを実施する)ADユーザーの識別名(DN)が
「userDN」に正しく入力されているか(図1参照)
②読み取り権限のあるADユーザーのパスワードが「userPassword」に正しく入力されているか
③「同期元のADドメインユーザーグループ」のトグルのON/OFFは正しく選択されているか
・ONの場合:AD側の全ユーザーを同期対象とする
・OFFの場合:指定したセキュリティグループのみを同期対象とする
④同期のADセキュリティグループの識別名(DN)が、「同期元のADセキュリティグループ」に
正しく入力されているか(図2参照)
(図1)
(図2)
「同期するAD属性」にてAD側ユーザーの属性とトラログ側の情報のマッピングを設定します。
各項目に以下の通り入力し、設定を保存します。
名 givenName 姓 sn メールアドレス mail
Q3.Q2の確認をしましたが、まだユーザー同期ができません。
A3.ログを確認し、エラーがある場合は以下のエラー情報を参照の上、必要な対応を行ってください。ログはコネクターのインストール先ディレクトリにあるlogsというディレクトリに保存されています。
AD コネクターのエラーログファイル保存場所:
logsフォルダ直下のskuidadconnector_yyyymmdd.out.log / skuidadconnector_yyyymmdd.err.log
プログラムのログとなりますので、お客様側での分析が行えない場合には、
弊社へお問い合わせください。その際にはログのご提供をお願いしております。
ログで記録されたエラー情報 | 原因 | 解決方法 |
ERROR c.g.i.adconnector.beans.AmqpReceiver - Caught exception when processing SearchOperationRequestMessage message {} org.springframework.ldap.PartialResultException: nested exception is javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: host.test.com:389 [Root exception is java.net.ConnectException: Connection timed out: connect]] ..................... Caused by: javax.naming.PartialResultException: null at com.sun.jndi.ldap.AbstractLdapNamingEnumeration.hasMoreImpl(Unknown Source) at com.sun.jndi.ldap.AbstractLdapNamingEnumeration.hasMoreReferrals(Unknown Source) |
ADコネクターから指定したADドメインコントローラーに接続できない |
通常はDNSの設定問題、またはファイアウォールに問題があり、お客様のITシステム部門からのサポートが必要です。
・通信Portへのアクセスが許可されているかを確認してください。 ・ファイアウォールなど通信を阻止する要素を取り除き試してみてください。 ・DNSサーバで登録したドメインコントローラーを確認していただき、無効のコントローラー情報が残っていないか確認してください。 |
Caused by: javax.naming.CommunicationException: host.test.com:389 ....
|
ADコネクターから指定したADドメインコントローラーに接続できない |
ADコネクターを設定したPCからADドメインコントローラーへのアクセスができるかを確認してください。 通常はDNSの設定問題、またはファイアウォールに問題があり、お客様のITシステム部門からのサポートが必要です。
・通信Portへのアクセスが許可されているかを確認してください。 ・ファイアウォールなど通信を阻止する要素を取り除き試してみてください。 ・DNSサーバで登録したドメインコントローラーを確認していただき、無効のコントローラー情報が残っていないか確認してください。 |
Caused by: javax.naming.CommunicationException: simple bind failed: host.test.com:389 at com.sun.jndi.ldap.LdapClient.authenticate(Unknown Source) at com.sun.jndi.ldap.LdapCtx.connect(Unknown Source) ... 25 common frames omitted Caused by:java.net.SocketException: Connection reset at java.net.SocketInputStream.read(Unknown Source) at java.net.SocketInputStream.read(Unknown Source) at sun.security.ssl.InputRecord.readFully(Unknown Source) |
HTTPS接続できない |
HTTPS関連の設定を確認し、正しい情報をトラスト・ログインAD管理画面でのプロトコル・ポートに設定してください。 |
Consumer@108918ab: tags=[{amq.ctag-UrtoGbbFdFfu0c96a-MDVw=connector.inbound}], channel=Cached Rabbit Channel: AMQChannel(amqp://user_vRu3hYJ5KEcXB2lblJyv_being-group@18.179.80.15:5671/vhost_auuUOeavP1gSAN6Z9VyT_being-group,1), conn: Proxy@7dc90857 Shared Rabbit Connection: SimpleConnection@4e92d9b7 [delegate=amqp://user_vRu3hYJ5KEcXB2lblJyv_being-group@18.179.80.15:5671/vhost_auuUOeavP1gSAN6Z9VyT_being-group, localPort= 64559], acknowledgeMode=AUTO local queue size=0 |
ADコネクターがトラスト・ログインのADサーバーにアクセスできない |
ADコネクターをインストールしたPCから、上記2台のサーバへアクセスできるようネットワークを設定をしてください。 |
WARN c.g.i.a.s.LdapFunctionalityService - Group SearchTerm(dn="CN=SSS,DC=aaa,DC=co,DC=jp", matchCriteriaIdList=[3ddcf0cb-753a-424b-9349-d893d9bfcff1], staticUserSearchQuery=null) was not found ...
|
UserDNの設定が正しくない |
「ユーザー同期設定」画面にある「読み取り権限のあるADユーザー」セクションのUserBase, UserDNを正しく設定してください。 ※下記「ADトラブルシューティングの際に役立つコマンド」の「dsquery user "UserDN"」コマンド実施でUserDNの正確性を確認してください。 |
org.springframework.ldap.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C090453, comment: AcceptSecurityContext error, data 52e, v3839 ]; nested exception is javax.naming.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C090453, comment: AcceptSecurityContext error, data 52e, v3839 ]
|
UserDNの設定が正しくない |
「ユーザー同期設定」画面にある「読み取り権限のあるADユーザー」セクションのuserDN入力欄に、識別名ではなくuserPrincipalName を指定してください。 ・識別名の例: ・userPrincipalNameの例: |
WARN c.g.i.a.s.LdapFunctionalityService - Group SearchTerm(dn=CN=aaaaGroupName,OU=OUName,DC=test,DC=com, matchCriteriaIdList=[d125d0db-304b-4e76-a44f-8cebbe912802], staticUserSearchQuery=null) was not found ..... |
同期元のADセキュリティグループの設定が正しくない |
同期元のADセキュリティグループを正しく設定してください。 ※下記「ADトラブルシューティングの際に役立つコマンド」の「dsquery group "GroupDN"」コマンド実施でグループのDNの正確性を確認してください。 |
エラーメッセージなし |
同期するAD属性の設定が正しくない
|
同期するAD属性を正しく入力してください。 ※通常は下記を入力します。 名:givenName 姓:sn メールアドレス:mail
正しく設定されていれば、AD側のユーザー属性がトラスト・ログインに反映されます。 |
ADトラブルシューティングの際に役立つコマンド
分類
|
コマンド
|
|
---|---|---|
CMD | dsquery user "UserDN" |
トラスト・ログインのAD設定画面上に入力された"読み取り権限のあるADユーザー"UserDNの正確性を検証します。 入力したUserDNが正しい場合、入力したUserDNがそのまま表示されます。
入力したUserDNが間違っている場合は、エラーが表示されます。 |
CMD | dsquery group "GroupDN" |
トラスト・ログインのAD設定画面上に入力された"同期元のADセキュリティグループ"の正確性を検証します。 入力したGroupDNが正しい場合は、入力したGroupDNが表示されます。
入力したGroupDNが間違っている場合は、エラーが表示されます。 |
Q4.ADサーバーへ連携できているか確認したい。
A4.telnet コマンドを利用して2台のADサーバへのアクセス開放情報を確認できます。
telnet a-mq-ad.services.sku.id 5671 [現在停止中]
telnet b-mq-ad.services.sku.id 5671
※telnetを利用できない場合は、こちらのページをご参照の上、telnetを有効にしてください。
接続できない場合は、接続失敗のエラーメッセージが表示されます。
対象サーバのIPまたはポートの開放状況について、ファイアウォール設定などをご確認ください。
ADサーバー及びポートへの接続ができた場合は、ブランクスクリーンが表示されます。
確認完了後にtelnetのウィンドウを閉じてください。