Dépannage de l’intégration LDAP

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Si vous intégrez votre serveur LDAP et que vous avez des questions, ces éléments peuvent vous aider à résoudre le problème.

    Vérifications préliminaires

    • Si LDAP n’est pas disponible, les utilisateurs ne peuvent pas se connecter à l’instance. Une bonne pratique consiste à avoir des comptes locaux pour les administrateurs afin qu’en cas d’arrêt du LDAP, les administrateurs puissent toujours accéder à l’instance.
    • Vérifiez le compte de service pour vous assurer qu’il n’est pas expiré ou verrouillé.
    • Vérifiez le format du nom d’utilisateur. Au lieu d’utiliser uniquement le nom d’utilisateur, essayez d’utiliser le domaine avec le nom d’utilisateur, ou username@domain.
    • Vérifiez que vous avez modifié l’entrée de system_id dans l’enregistrement ldap_server_config . Si vous modifiez le system_id de manière involontaire avec un ensemble de mises à jour, system_id pointe vers le mauvais nœud pour l’instance cible et ne fonctionne pas.

    Codes d'erreur

    Le fichier journal LDAP répertorie les codes d’erreur standard du secteur pour LDAP et Active Directory (AD). Le fichier journal LDAP est contenu dans le fichier wrapper. Les codes d’erreur LDAP sont des nombres à deux chiffres, tandis que les codes d’erreur Active Directory sont des nombres à trois chiffres. Pour obtenir la liste des codes d’erreur les plus courants, consultez Codes d’erreur LDAP.

    Intégration dans plusieurs domaines

    Vous pouvez intégrer plusieurs domaines au sein d’une même forêt ou dans des domaines totalement non approuvés. Nous vous recommandons de créer un enregistrement de serveur LDAP distinct pour chaque domaine. Chaque enregistrement de serveur LDAP doit pointer vers un contrôleur de domaine pour ce domaine donné. Cela signifie que vous devrez autoriser les connexions à chacun des contrôleurs de domaine. Plusieurs forêts AD via LDAP avec un seul compte LDAP ne sont pas prises en charge.

    Lorsque vous étendez à plus d’un domaine, il est essentiel d’identifier des attributs LDAP uniques pour les noms d’utilisateur d’application et d’importer des valeurs de fusion. objectSid est un attribut de coalescence unique commun pour Active Directory. Les noms d’utilisateur uniques varient en fonction de la conception de vos données LDAP. Les attributs uniques courants sont e-mail ou userPrincipalName.

    Enregistrements entrants

    Reportez-vous à la rubrique Cartes de transformation LDAP pour définir comment l’intégration traite les enregistrements LDAP entrants pour lesquels il manque des valeurs correspondantes dans les champs de référence.

    Erreurs d’authentification courantes

    • L’utilisateur ne peut pas se connecter (DN non valide)
    • CN non valide
    • Connexion non valide

    Tests automatiques de connexion LDAP

    Vous pouvez tester manuellement les connexions aux serveurs LDAP ou autoriser ServiceNow le test automatique des connexions.

    Le système teste automatiquement la connexion :
    • Chaque fois qu’un utilisateur ouvre le formulaire du serveur LDAP.
    • Via la tâche planifiée de test de connexion LDAP, qui s’exécute toutes les 15 minutes par défaut.

      Vous pouvez modifier la fréquence d’exécution de cette tâche planifiée. Si cette tâche planifiée n’est pas en mesure d’établir une connexion, une nouvelle tâche planifiée ponctuelle retente le test de connexion après cinq minutes ou la moitié de la valeur de l’intervalle de répétition de la tâche planifiée, selon ce qui se produit en premier.

    Des messages d’erreur s’affichent sur le formulaire en cas de problème de connexion au serveur LDAP. Les connexions de test sont également prises en charge pour les serveurs derrière un MID Server.