Resolución de problemas de Active Directory
En este tema se proporcionan las siguientes secciones para ayudar a solucionar problemas con Active Directory:
Falla la importación de la entidad con el error de que no se puede convertir
Cuando se importa una entidad de Active Directory, la importación falla solo si el valor especificado en el fichero XML no coincide con el tipo de datos del campo. Por ejemplo, si el valor de test se proporciona para el elemento <port>, la importación fallará. A continuación se proporciona un fragmento XML que se muestra cuando se produce este problema:
<Row>
<adminPassword><![CDATA[]]></adminPassword>
<adminPrincipal><![CDATA[CN=Administrator,CN=Users,DC=domain,DC=com]]></adminPrincipal>
<domain><![CDATA[dc=domain,dc=com]]></domain>
<port>test</port> <================================ INVALID DATA TYPE VALUE FOR <port>. MUST BE AN INTEGER.
<protocol><![CDATA[LDAP]]></protocol>
<server><![CDATA[10.80.21.164]]></server>
</Row>
A continuación se proporciona una captura de pantalla en la que se muestra lo que se verá en Composer:
En el registro de aplicación se escriben los siguientes errores:
ERROR: [message: Conversion Error on Field port : Unable To Convert From com.sun.org.apache.xerces.internal.dom.ElementNSImpl to INTEGER]
ERROR: Entity import failed
Para resolver el problema, verifique el XML detenidamente para asegurarse de que los valores proporcionados son del tipo de datos adecuado.
Volver a Introducción
Falla la validación de la importación, pero esta es correcta
En los escenarios en los que la validación falla debido a que falta un campo obligatorio o a que una configuración no es válida, la entidad servicio de directorios se sigue pudiendo importar, pero se marcará como desactivada. Para activarla, se deben actualizar los campos no válidos.
 | Una entidad de servicio de directorios no se puede utilizar para la autenticación hasta que no esté activada. El proceso de activación de una entidad de servicio de directorios que se ha importado como desactivada es manual. Es necesario ir hasta la entidad desactivada en ThingWorx Composer, activarla y guardarla. |
A continuación se proporciona un ejemplo de una configuración no válida, con un comentario debajo del parámetro no válido (protocol):
<Row>
<adminPassword><![CDATA[]]></adminPassword>
<adminPrincipal><![CDATA[CN=Administrator,CN=Users,DC=domain,DC=com]]></adminPrincipal>
<domain><![CDATA[dc=domain,dc=com]]></domain>
<port>test</port>
<protocol><![CDATA[INVALID-PROTOCOL]]></protocol>
<== INVALID CONFIGURATION VALUE FOR <protocol>. MUST BE EITHER LDAP OR LDAPS.
<server><![CDATA[10.80.21.164]]></server>
</Row>
Se puede observar que esta entidad se importa correctamente a ThingWorx:
Sin embargo, se puede observar que la casilla Activada de la propia entidad no está seleccionada, lo que significa que la entidad está desactivada. A continuación se muestra un ejemplo:
En el registro de aplicación aparece el siguiente error para este escenario:
ERROR: Directory Service Error: The URI Scheme must be LDAP or LDAPS
Volver a Introducción
Mensajes de error de configuración
En la siguiente tabla se muestran los mensajes de error posibles que pueden aparecer en ApplicationLog en función de los campos configurados no válidos en la entidad de Active Directory: A continuación, se proporciona una breve tabla en la que se ofrecen vínculos a las secciones de configuración que se indican en esta tabla:
Campo | Sección de configuración | Mensaje de error | ||
|---|---|---|---|---|
Esquema de URI | Configuración de conexión | Directory Service Error: The URI Scheme must be LDAP or LDAPS. | ||
FQDN o dirección IP del servidor Puerto de red del servidor | Configuración de conexión | Error del servicio de directorios: el servidor FQDN o la dirección IP no pueden ser nulos. Error del servicio de directorios: java.net.MalformedURLException: Not an LDAP URL: <IP>:<Port> Cannot parse url: <IP><Port Error del servicio de directorios: java.net.ConnectException: Connection refused (Connection refused) to 'Server FQDN or IP address' and 'Server Network Port' <IP>:<Port> | ||
Puerto de red del servidor | Configuración de conexión | Error del servicio de directorios: el puerto de red del servidor debe estar en el rango de 0 a 65535. | ||
Nombre exclusivo del dominio | Configuración de conexión | Error del servicio de directorios: el dominio no puede ser nulo. | ||
Nombre principal de administrador | Configuración de conexión | Error del servicio de directorios: el nombre principal de administrador no puede ser nulo.
| ||
Contraseña de administrador | Configuración de conexión | Error del servicio de directorios: la contraseña de administrador no puede ser nula.
| ||
Nombre de atributo de ID de usuario | Asignaciones de esquemas | Error del servicio de directorios: el valor de attributeUserIdName no puede ser nulo. | ||
Nombre exclusivo de la base de usuarios | Asignaciones de esquemas | Error del servicio de directorios: el valor de userBaseDN no puede ser nulo. | ||
Nombre de clase de objetos del grupo | Asignaciones de esquemas | Error del servicio de directorios: el valor de groupObjectClass no puede ser nulo. | ||
Nombre de atributo de afiliación al grupo | Asignaciones de esquemas | Error del servicio de directorios: el valor de memberOfAttribute no puede ser nulo. | ||
Nombre de atributo de grupo | Asignaciones de esquemas | Error del servicio de directorios: el valor de groupAttribute no puede ser nulo. | ||
Nombre de atributo de señalizadores de usuario | Asignaciones de esquemas | Error del servicio de directorios: el valor de userControlAttribute no puede ser nulo. | ||
Bit desactivado del atributo de control de usuario | Asignaciones de esquemas | Error del servicio de directorios: el valor de userDisableBit no puede ser nulo y debe ser un entero. | ||
Bit de bloqueo del atributo de control de usuario | Asignaciones de esquemas | Error del servicio de directorios: el valor de userLockoutBit no puede ser nulo y debe ser un entero. | ||
Nombre de grupo de Active Directory | Asignaciones de grupos | Error del servicio de directorios: el valor de activeDirectoryGroupName no puede ser nulo. | ||
Nombre de grupo ThingWorx | Asignaciones de grupos | Error del servicio de directorios: el valor de thingworxGroupName no puede ser nulo. | ||
Mashup de inicio por defecto del usuario abastecido | Valores por defecto del usuario | Error del servicio de directorios: el valor de userDefaultHomeMashupName no puede ser un nombre de mashup no válido. | ||
Mashup móvil por defecto del usuario abastecido | Valores por defecto del usuario | Error del servicio de directorios: el valor de userDefaulMobileMashupName no puede ser un nombre de mashup no válido. | ||
Etiquetas por defecto del usuario abastecido | Valores por defecto del usuario | Error del servicio de directorios: el valor de userDefaulTags no puede tener etiquetas no válidas. Error del servicio de directorios: el valor de userDefaulTags no puede tener un nombre de etiqueta no válido. | ||
Nombre de usuario de ThingWorx | Lista de exclusiones de abastecimiento de usuario | Error del servicio de directorios: el valor de thingworxUserName no puede ser nulo. |
En la siguiente tabla se proporciona un vínculo a los temas relacionados con las secciones de configuración de la tabla anterior:
Sección de configuración | Tema |
|---|---|
Configuración de conexión | |
Asignaciones de esquemas | |
Asignaciones de grupos | |
Valores por defecto del usuario | |
Lista de exclusiones de abastecimiento de usuario |
Resolución de problemas: prefijo del dominio de Active Directory y conexión de usuario dinámico
El servicio de directorios de Active Directory tiene un valor de configuración (Provisioned User's Default Domain Prefix) que puede interferir potencialmente con la opción Conexión de usuario dinámico. A continuación se describe el conjunto de Valores por defecto del usuario:
La configuración Provisioned User's Default Domain Prefix permite especificar un prefijo que restringe los usuarios que el servicio de directorios puede autenticar. Si hay varios servicios de directorios de Active Directory configurados para la misma instancia de ThingWorx Platform, se debe considerar la posibilidad de utilizar esta opción para evitar que todos los servicios de directorios intenten autenticar el mismo usuario.
Sin embargo, se debe tener en cuenta que este prefijo se quita del nombre de usuario que se transfiere a Active Directory. Si el prefijo especificado es el dominio de Active Directory del usuario, este no puede conectarse a Active Directory.
Por ejemplo:
1. DOMAIN\ se especifica como Provisioned User's Default Domain Prefix.
2. El usuario DOMAIN\user1 intenta conectarse a ThingWorx Platform.
3. DOMAIN\ se quita del nombre de usuario que se transfiere a Active Directory y user1 no puede conectarse.
Este problema no afecta actualmente a los servicios de directorios de Active Directory que tienen la opción Conexión de usuario dinámico desactivada.
Para solucionar este problema, siga estas prácticas:
• Evite utilizar el prefijo del dominio por defecto (preferido): evite utilizar la configuración del prefijo del dominio por defecto del usuario cuando esté activada la opción de conexión de usuario dinámico.
• Utilice un prefijo diferente que los usuarios deban introducir o haga que los usuarios introduzcan el prefijo del dominio dos veces: se puede especificar un prefijo adicional que no sea el prefijo DOMAIN\ necesario para iniciar sesión a través de DOMAIN\SamAccountName. Por ejemplo, el prefijo podría ser PREFIX- y los usuarios se conectarían con PREFIX-DOMAIN\prefix.
Volver a Conexión de usuario dinámico
Resolución de problemas: nombre no válido para la propiedad UserExtension
Al asignar un atributo de Active Directory a una propiedad UserExtension de ThingWorx, es necesario seleccionar un nombre de la propiedad UserExtension de un menú desplegable. El siguiente mensaje de error puede aparecer en el registro de aplicación de ThingWorx:
Property name: <property_name> not found
in UserExtensions properties
in UserExtensions properties
Este error se debe a las siguientes condiciones:
• El fichero XML importado para el servicio de directorios Active Directory contiene un nombre no válido para userExtensionPropertyName y
• Un usuario se conecta y autentica en el servicio de directorios Active Directory que tiene configurado el objeto userExtensionPropertyName no válido.
Este error puede ocurrir si el fichero XML se ha editado manualmente. Se puede quitar la entrada no válida de la tabla de asignaciones de propiedades de extensión de usuario en la página Configuración de la entidad de servicio de directorios en ThingWorx Composer.