LDAP 통합 문제 해결
LDAP 서버를 통합하는 중에 질문이 있는 경우 다음 항목이 문제 해결에 도움이 될 수 있습니다.
예비 점검
- LDAP를 사용할 수 없는 경우 사용자는 인스턴스에 로그인할 수 없습니다. LDAP가 다운된 경우 관리자가 인스턴스에 계속 액세스할 수 있도록 관리자용 로컬 계정을 사용하는 것이 좋습니다.
- 서비스 계정을 확인하여 만료되거나 잠겨 있지 않은지 확인합니다.
- 사용자 이름의 형식을 확인하십시오. 사용자 이름만 사용하는 대신 사용자 이름으로 도메인을 사용하거나 username@domain 사용해 보십시오.
ldap_server_config기록에서system_id항목을 변경했는지 확인합니다. 업데이트 세트를 사용하여 의도치 않게system_id수정하면system_id대상 인스턴스에 대해 잘못된 노드를 가리키고 작동하지 않습니다.
오류 코드
LDAP 로그 파일에는 LDAP와 Active Directory(AD) 모두에 대한 산업 표준 오류 코드가 나열됩니다. LDAP 로그 파일은 래퍼 파일에 포함되어 있습니다. LDAP 오류 코드는 2자리 숫자이고 Active Directory 오류 코드는 3자리 숫자입니다. 가장 일반적인 오류 코드 목록은 LDAP 오류 코드를 참조하십시오.
다중 도메인 통합
동일한 포리스트 내에서 또는 완전히 신뢰할 수 없는 도메인에서 여러 도메인을 통합할 수 있습니다. 각 도메인에 대해 별도의 LDAP 서버 기록을 생성하는 것이 좋습니다. 각 LDAP 서버 기록은 해당 도메인의 도메인 컨트롤러를 가리켜야 합니다. 즉, 각 도메인 컨트롤러에 대한 연결을 허용해야 합니다. 하나의 LDAP 계정으로 LDAP를 통한 여러 AD 포리스트는 지원되지 않습니다.
둘 이상의 도메인으로 확장할 때는 애플리케이션 사용자 이름에 대한 고유한 LDAP 속성을 식별하고 병합 값을 가져오는 것이 중요합니다. Active Directory의 일반적인 고유 병합 특성은 objectSid입니다. 고유한 사용자 이름은 LDAP 데이터 설계에 따라 다릅니다. 일반적인 고유 속성은 email 또는 userPrincipalName입니다.
수신 기록
참조 필드에서 일치하는 값이 누락된 수신 LDAP 기록을 통합에서 처리하는 방법을 설정하려면 내용을 참조하십시오 LDAP 변환 맵 .
일반적인 인증 오류
- 사용자가 로그인할 수 없음(잘못된 DN)
- 잘못된 CN
- 잘못된 연결
자동 LDAP 연결 테스트
LDAP 서버에 대한 연결을 수동으로 테스트하거나 ServiceNow 연결을 자동으로 테스트할 수 있습니다.
- 사용자가 LDAP 서버 양식을 열 때마다.
- 기본적으로 15분마다 실행되는 LDAP 연결 테스트 예약된 작업을 통해
이 예약된 작업이 실행되는 빈도를 변경할 수 있습니다. 이 예약된 작업이 연결을 설정할 수 없는 경우 새 일회성 예약 작업은 5분 후 또는 예약된 작업의 반복 간격 값의 절반 중 먼저 발생하는 값 후에 연결 테스트를 다시 시도합니다.