Dépannage de l’intégration LDAP

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Si vous intégrez votre serveur LDAP et que vous avez des questions, ces éléments peuvent vous aider à résoudre le problème.

    Vérifications préliminaires

    • Si le LDAP n’est pas disponible, les utilisateurs ne peuvent pas se connecter à l’instance. Une bonne pratique consiste à avoir des comptes locaux pour les administrateurs afin qu’en cas de panne du LDAP, les administrateurs puissent toujours accéder à l’instance.
    • Vérifiez le compte de service pour vous assurer qu’il n’a pas expiré ou qu’il n’est pas verrouillé.
    • Vérifiez le format du nom d’utilisateur. Au lieu d’utiliser uniquement le nom d’utilisateur, essayez d’utiliser le domaine avec le nom d’utilisateur, ou username@domain.
    • Vérifiez que vous avez modifié l’entrée system_id sur l’enregistrement ldap_server_config . Si vous modifiez la system_id par inadvertance avec un ensemble de mises à jour, system_id pointe vers le mauvais nœud pour l’instance cible et ne fonctionne pas.

    Codes d'erreur

    Le fichier journal LDAP répertorie les codes d’erreur standard du secteur pour LDAP et Active Directory (AD). Le fichier journal LDAP est contenu dans le fichier wrapper. Les codes d’erreur LDAP sont des nombres à deux chiffres, tandis que les codes d’erreur Active Directory sont des nombres à trois chiffres. Pour obtenir la liste des codes d’erreur les plus courants, reportez-vous à la section Codes d’erreur LDAP.

    Intégration de plusieurs domaines

    Vous pouvez intégrer plusieurs domaines au sein d’une même forêt ou dans des domaines non approuvés. Il est recommandé de créer un enregistrement de serveur LDAP distinct pour chaque domaine. Chaque enregistrement de serveur LDAP doit pointer vers un contrôleur de domaine pour ce domaine donné. Cela signifie que vous devrez autoriser les connexions à chacun des contrôleurs de domaine. L’utilisation de plusieurs forêts AD via LDAP avec un seul compte LDAP n’est pas prise en charge.

    Lorsque vous étendez à plusieurs domaines, il est essentiel d’identifier des attributs LDAP uniques pour les noms d’utilisateur d’application et d’importer des valeurs de fusion. Un attribut de coalescence unique commun pour Active Directory est objectSid. Les noms d’utilisateur uniques varient en fonction de la conception de vos données LDAP. Les attributs uniques communs sont e-mail ou userPrincipalName.

    Enregistrements entrants

    Voir Cartes de transformation LDAP pour définir comment l’intégration traite les enregistrements LDAP entrants pour lesquels il manque des valeurs correspondantes dans les champs de référence.

    Erreurs d’authentification courantes

    • L’utilisateur ne peut pas se connecter (DN non valide)
    • CN non valide
    • Connexion non valide

    Tests automatiques de connexion LDAP

    Vous pouvez tester manuellement les connexions aux serveurs LDAP ou autoriser ServiceNow à tester automatiquement les connexions.

    Le système teste automatiquement la connexion :
    • Chaque fois qu’un utilisateur ouvre le formulaire du serveur LDAP.
    • Via la tâche planifiée de test de connexion LDAP, qui s’exécute toutes les 15 minutes par défaut.

      Vous pouvez modifier la fréquence d’exécution de cette tâche planifiée. Si cette tâche planifiée n’est pas en mesure d’établir une connexion, une nouvelle tâche planifiée unique relance le test de connexion après cinq minutes ou la moitié de la valeur Intervalle de répétition de la tâche planifiée, selon la première éventualité.

    En cas de problème de connexion au serveur LDAP, des messages d’erreur s’affichent sur le formulaire. Les connexions de test pour les serveurs derrière un MID Server sont également prises en charge.