LDAP 통합 문제 해결
LDAP 서버를 통합하는 중이며 질문이 있는 경우 다음 항목이 문제 해결에 도움이 될 수 있습니다.
예비 점검
- LDAP를 사용할 수 없는 경우 사용자는 인스턴스에 로그인할 수 없습니다. LDAP가 다운된 경우 관리자가 인스턴스에 계속 액세스할 수 있도록 관리자용 로컬 계정을 만드는 것이 좋습니다.
- 서비스 계정이 만료되거나 잠겨 있지 않은지 확인합니다.
- 사용자 이름의 형식을 확인합니다. 사용자 이름만 사용하는 대신 사용자 이름 또는 username@domain와 함께 도메인을 사용해 보세요.
ldap_server_config기록에서system_id항목을 변경했는지 확인합니다. 업데이트 세트를 사용하여 의도치 않게system_id수정하면system_id가 대상 인스턴스의 잘못된 노드를 가리키며 작동하지 않습니다.
오류 코드
LDAP 로그 파일에는 LDAP 및 Active Directory(AD)에 대한 산업 표준 오류 코드가 나열되어 있습니다. LDAP 로그 파일은 랩퍼 파일에 포함되어 있습니다. LDAP 오류 코드는 2자리 숫자이고 Active Directory 오류 코드는 3자리 숫자입니다. 가장 일반적인 오류 코드 목록은 LDAP 오류 코드를 참조하십시오.
다중 도메인 통합
동일한 포리스트 내에서 또는 완전히 신뢰할 수 없는 도메인에서 여러 도메인을 통합할 수 있습니다. 각 도메인에 대해 별도의 LDAP 서버 기록을 만드는 것이 좋습니다. 각 LDAP 서버 레코드는 지정된 도메인의 도메인 컨트롤러를 가리켜야 합니다. 즉, 각 도메인 컨트롤러에 대한 연결을 허용해야 합니다. 하나의 LDAP 계정으로 LDAP를 통한 여러 AD 포리스트는 지원되지 않습니다.
둘 이상의 도메인으로 확장할 때는 애플리케이션 사용자 이름에 대한 고유한 LDAP 속성을 식별하고 병합 값을 임포트하는 것이 중요합니다. Active Directory의 일반적인 고유 병합 특성은 objectSid입니다. 고유한 사용자 이름은 LDAP 데이터 설계에 따라 다릅니다. 일반적인 고유 특성은 email 또는 userPrincipalName입니다.
수신 기록
참조 필드에서 일치하는 값이 누락된 수신 LDAP 기록을 통합이 처리하는 방법을 설정하려면 참조합니다 LDAP 변환 맵 .
일반적인 인증 오류
- 사용자가 로그인할 수 없음(잘못된 DN)
- 잘못된 CN
- 잘못된 연결
자동 LDAP 연결 테스트
LDAP 서버에 대한 연결을 수동으로 테스트하거나 연결을 자동으로 테스트하도록 허용 ServiceNow 할 수 있습니다.
- 사용자가 LDAP 서버 양식을 열 때마다.
- 기본적으로 15분마다 실행되는 LDAP 연결 테스트 예약된 작업을 통해
이 예약된 작업의 실행 빈도를 변경할 수 있습니다. 이 예약된 작업에서 연결을 설정할 수 없는 경우 새로운 일회성 예약 작업이 5분 후에 연결 테스트를 다시 시도하거나 예약된 작업에서 반복 간격 값의 절반 중 먼저 발생하는 후에 연결 테스트를 다시 시도합니다.