Dépannage de l’intégration LDAP

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Si vous intégrez votre serveur LDAP et que vous avez des questions, ces éléments peuvent vous aider à résoudre le problème.

    Vérifications préalables

    • Si LDAP n’est pas disponible, les utilisateurs ne peuvent pas se connecter à l’instance. Une bonne pratique consiste à avoir des comptes locaux pour les administrateurs afin que les administrateurs puissent toujours accéder à l’instance si le LDAP est en panne.
    • Vérifiez le compte de service pour vous assurer qu’il n’est pas expiré ou verrouillé.
    • Vérifiez le format du nom d’utilisateur. Au lieu d’utiliser uniquement le nom d’utilisateur, essayez d’utiliser le domaine avec le nom d’utilisateur ou username@domain.
    • Vérifiez que vous avez modifié l’entrée de system_id sur l’enregistrement ldap_server_config . Si vous modifiez le system_id involontairement avec un ensemble de mises à jour, system_id pointe vers le mauvais nœud pour l’instance cible et ne fonctionne pas.

    Codes d'erreur

    Le fichier journal LDAP répertorie les codes d’erreur standard du secteur pour LDAP et Active Directory (AD). Le fichier journal LDAP est contenu dans le fichier wrapper. Les codes d’erreur LDAP sont des nombres à deux chiffres, tandis que les codes d’erreur Active Directory sont des nombres à trois chiffres. Pour obtenir la liste des codes d’erreur les plus courants, consultez Codes d’erreur LDAP.

    Intégration multi-domaines

    Vous pouvez intégrer plusieurs domaines au sein d’une même forêt ou dans des domaines totalement non approuvés. Il est recommandé de créer un enregistrement de serveur LDAP distinct pour chaque domaine. Chaque enregistrement de serveur LDAP doit pointer vers un contrôleur de domaine pour ce domaine donné. Cela signifie que vous devrez autoriser les connexions à chacun des contrôleurs de domaine. Plusieurs forêts AD via LDAP avec un compte LDAP ne sont pas prises en charge.

    Lorsque vous développez vers plusieurs domaines, il est essentiel d’identifier des attributs LDAP uniques pour les noms d’utilisateur de l’application et d’importer les valeurs de fusion. Un attribut de fusion unique commun pour Active Directory est objectSid. Les noms d’utilisateur uniques varient en fonction de la conception de vos données LDAP. Les attributs uniques courants sont email ou userPrincipalName.

    Enregistrements entrants

    Reportez-vous Cartes de transformation LDAP à la section pour définir comment l’intégration traite les enregistrements LDAP entrants pour lesquels il manque de valeurs correspondantes dans les champs de référence.

    Erreurs d’authentification courantes

    • L’utilisateur ne peut pas se connecter (DN non valide)
    • CN non valide
    • Connexion non valide

    Tests de connexion LDAP automatiques

    Vous pouvez tester manuellement les connexions aux serveurs LDAP ou autoriser ServiceNow le test automatique des connexions.

    Le système teste automatiquement la connexion :
    • Chaque fois qu’un utilisateur ouvre le formulaire du serveur LDAP.
    • Via la tâche planifiée de test de connexion LDAP, qui s’exécute par défaut toutes les 15 minutes.

      Vous pouvez modifier la fréquence d’exécution de cette tâche planifiée. Si cette tâche planifiée n’est pas en mesure d’établir une connexion, une nouvelle tâche planifiée ponctuelle retente le test de connexion après cinq minutes ou après la moitié de la valeur Intervalle de répétition dans la tâche planifiée, selon la première éventualité.

    Des messages d’erreur s’affichent sur le formulaire en cas de problème de connexion au serveur LDAP. Les connexions de test pour les serveurs situés derrière un serveur MID sont également prises en charge.