Solução de problemas de integração LDAP

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Se você estiver integrando o servidor LDAP e tiver dúvidas, esses itens poderão ajudá-lo a solucionar o problema.

    Verificações preliminares

    • Se o LDAP não estiver disponível, os usuários não poderão fazer login na instância. Recomendamos a manutenção de contas locais para administradores para que, se o LDAP estiver inativo, os administradores ainda possam acessar a instância.
    • Verifique a conta de serviço para garantir que ela não esteja expirada ou bloqueada.
    • Verifique o formato do nome de usuário. Em vez de usar apenas o nome de usuário, tente usar o domínio com o nome de usuário ou username@domain.
    • Verifique se você alterou a entrada system_id no registro ldap_server_config. Se o system_id for modificado não intencionalmente com um conjunto de atualizações, o system_id apontará para o nó incorreto da instância de destino e não funcionará.

    Códigos de erro

    O arquivo de log LDAP lista os códigos de erro padrão do setor para o LDAP e o Active Directory (AD). O arquivo de log LDAP está contido no arquivo wrapper. Os códigos de erro LDAP são números de dois dígitos, e os códigos de erro do Active Directory são números de três dígitos. Para obter uma lista dos códigos de erro mais comuns, consulte Códigos de erro LDAP.

    Integração de vários domínios

    É possível integrar vários domínios na mesma floresta ou em domínios totalmente não confiáveis. Recomendamos a criação de um registro de servidor LDAP separado para cada domínio. Cada registro do servidor LDAP deve apontar para um controlador de domínio para esse domínio específico. Com isso, será necessário permitir conexões com cada um dos controladores de domínio. Não há suporte para várias florestas do AD por meio LDAP com uma conta LDAP.

    Ao expandir para mais de um domínio, é essencial identificar atributos LDAP exclusivos para os nomes de usuário da aplicação e importar valores de aglutinação. Um atributo de aglutinação exclusivo comum para o Active Directory é objectSid. Os nomes de usuário exclusivos variam de acordo com o design de dados LDAP. Atributos exclusivos comuns são e-mail ou userPrincipalName.

    Registros de entrada

    Consulte Mapas de transformação LDAP para definir como a integração processa registros LDAP de entrada que não contém valores correspondentes nos campos de referência.

    Erros comuns de autenticação

    • O usuário não consegue fazer login (DN inválido)
    • CN inválido
    • Conexões inválidas

    Testes automáticos de conexão LDAP

    É possível testar as conexões com os servidores LDAP manualmente ou permitir que ServiceNow teste as conexões automaticamente.

    O sistema testa a conexão automaticamente:
    • Toda vez que um usuário abre o formulário do servidor LDAP.
    • Por meio do trabalho agendado do teste de conexão LDAP, que é executado a cada 15 minutos por padrão.

      É possível alterar a frequência com que esse trabalho agendado é executado. Se esse trabalho agendado não puder estabelecer uma conexão, um novo trabalho de programação única repetirá o teste de conexão após cinco minutos ou metade do valor do intervalo de repetição no trabalho agendado, o que ocorrer primeiro.

    Mensagens de erro aparecerão no formulário se houver algum problema de conexão com o servidor LDAP. Também há suporte para conexões de teste para servidores de apoio de um MID Server.