Risoluzione dei problemi relativi ad Active Directory
In questo argomento sono disponibili le sezioni riportate di seguito, che consentono di risolvere i problemi relativi ad Active Directory.
• Risoluzione dei problemi: prefisso del dominio Active Directory e l'opzione Accesso utente dinamico
Errore Entity Import Failed con Unable to Convert
Quando un'entità di Active Directory viene importata, l'importazione ha esito negativo solo se il valore specificato nel file XML non corrisponde al tipo di dati del campo. Ad esempio, se viene fornito il valore test per l'elemento <port>, l'importazione avrà esito negativo. Lo snippet del file XML che segue mostra quando si verifica il problema:
<Row>
<adminPassword><![CDATA[]]></adminPassword>
<adminPrincipal><![CDATA[CN=Administrator,CN=Users,DC=domain,DC=com]]></adminPrincipal>
<domain><![CDATA[dc=domain,dc=com]]></domain>
<port>test</port> <================================ INVALID DATA TYPE VALUE FOR <port>. MUST BE AN INTEGER.
<protocol><![CDATA[LDAP]]></protocol>
<server><![CDATA[10.80.21.164]]></server>
</Row>
La schermata seguente mostra il contesto visualizzato in Composer:
I seguenti errori vengono scritti nel file ApplicationLog:
ERROR: [message: Conversion Error on Field port : Unable To Convert From com.sun.org.apache.xerces.internal.dom.ElementNSImpl to INTEGER]
ERROR: Entity import failed
Per risolvere il problema, controllare attentamente il codice XML per assicurarsi che i valori specificati siano del tipo di dati appropriato.
Torna a Introduzione
La convalida dell'importazione non riesce ma l'importazione riesce
Per gli scenari in cui la convalida non riesce a causa di un campo obbligatorio mancante o di una configurazione non valida, l'entità servizio di elenco può comunque essere importata, ma sarà contrassegnata come disattivata. Per attivare l'entità, i campi non validi devono essere aggiornati.
 | Un'entità servizio di elenco non può essere utilizzata per l'autenticazione fino a quando non è attivata. Il processo di attivazione di un'entità servizio di elenco importata come disattivata è manuale. È necessario accedere all'entità disattivata in ThingWorx Composer, attivarla e salvarla. |
L'esempio seguente mostra una configurazione non valida, con un commento sotto il parametro non valido (protocol):
<Row>
<adminPassword><![CDATA[]]></adminPassword>
<adminPrincipal><![CDATA[CN=Administrator,CN=Users,DC=domain,DC=com]]></adminPrincipal>
<domain><![CDATA[dc=domain,dc=com]]></domain>
<port>test</port>
<protocol><![CDATA[INVALID-PROTOCOL]]></protocol>
<== INVALID CONFIGURATION VALUE FOR <protocol>. MUST BE EITHER LDAP OR LDAPS.
<server><![CDATA[10.80.21.164]]></server>
</Row>
Si noti che questa entità viene importata correttamente in ThingWorx:
Tuttavia, la casella di controllo Attivata sull'entità stessa non è selezionata a indicare che l'entità è disattivata. Di seguito è riportato un esempio:
Nel file ApplicationLog viene visualizzato l'errore seguente per questo scenario:
ERROR: Directory Service Error: The URI Scheme must be LDAP or LDAPS
Torna a Introduzione
Messaggi di errore di configurazione
Nella tabella seguente sono elencati i possibili messaggi di errore che potrebbero essere visualizzati in ApplicationLog a seconda dei campi configurati non validi nell'entità di Active Directory. Di seguito è riportata una breve tabella che fornisce i link alle sezioni di configurazione elencate in questa tabella:
Campo | Sezione di configurazione | Messaggio di errore | ||
|---|---|---|---|---|
Schema URI | Impostazioni connessione | Directory Service Error: The URI Scheme must be LDAP or LDAPS. | ||
FQDN server o indirizzo IP/ Porta di rete server | Impostazioni connessione | Directory Service Error: The Server FQDN or IP address cannot be null. Directory Service Error: java.net.MalformedURLException: Not an LDAP URL: <IP>:<Port> Cannot parse url: <IP><Port Directory Service Error: java.net.ConnectException: Connection refused (Connection refused) to 'Server FQDN or IP address' and 'Server Network Port' <IP>:<Port> | ||
Porta di rete server | Impostazioni connessione | Directory Service Error: The Server Network port must be in the range of 0 to 65535. | ||
Nome distinto dominio | Impostazioni connessione | Directory Service Error: The Domain cannot be null. | ||
Nome utente/gruppo/ruolo amministratore | Impostazioni connessione | Directory Service Error: The Administrative Principal Name cannot be null.
| ||
Password amministratore | Impostazioni connessione | Directory Service Error: The Administrative Password cannot be null.
| ||
Nome attributo ID utente | Mappature schemi | Directory Service Error: The attributeUserIdName cannot be null. | ||
Nome distinto base utente | Mappature schemi | Directory Service Error: The userBaseDN cannot be null. | ||
Nome classe oggetto gruppo | Mappature schemi | Directory Service Error: The groupObjectClass cannot be null. | ||
Nome attributo gruppo di appartenenza | Mappature schemi | Directory Service Error: The memberOfAttribute cannot be null. | ||
Nome attributo gruppo | Mappature schemi | Directory Service Error: The groupAttribute cannot be null. | ||
Nome attributo flag utente | Mappature schemi | Directory Service Error: The userControlAttribute cannot be null. | ||
Bit disattivato attributo controllo utente | Mappature schemi | Directory Service Error: The userDisableBit cannot be null and must be an integer. | ||
Bit di blocco attributo controllo utente | Mappature schemi | Directory Service Error: The userLockoutBit cannot be null and must be an integer. | ||
Nome gruppo Active Directory | Mappature gruppi | Directory Service Error: The activeDirectoryGroupName cannot be null. | ||
Nome gruppo ThingWorx | Mappature gruppi | Directory Service Error: The thingworxGroupName cannot be null. | ||
Mashup di default utente sottoposto a provisioning | Default utente | Directory Service Error: The userDefaultHomeMashupName cannot be an invalid mashup name. | ||
Mashup mobile di default utente sottoposto a provisioning | Default utente | Directory Service Error: The userDefaulMobileMashupName cannot be an invalid mashup name. | ||
Tag di default utente sottoposto a provisioning | Default utente | Directory Service Error: The userDefaulTags cannot have invalid tags. Directory Service Error: The userDefaulTags cannot have an invalid tag name. | ||
Nome utente ThingWorx | Elenco di esclusione provisioning utenti | Directory Service Error: The thingworxUserName cannot be null. |
La tabella seguente fornisce i link agli argomenti correlati alle sezioni di configurazione della tabella riportata sopra.
Sezione di configurazione | Argomento |
|---|---|
Impostazioni connessione | |
Mappature schemi | |
Mappature gruppi | |
Default utente | |
Elenco di esclusione provisioning utenti |
Risoluzione dei problemi: prefisso del dominio Active Directory e l'opzione Accesso utente dinamico
L'impostazione di configurazione Provisioned User's Default Domain Prefix del servizio di elenco di Active Directory può potenzialmente interferire con l'opzione Accesso utente dinamico. La schermata seguente visualizza la sezione Default utente:
L'impostazione Provisioned User's Default Domain Prefix consente di specificare un prefisso che limita gli utenti che possono essere autenticati tramite il servizio di elenco. In presenza di più servizi di elenco di Active Directory configurati per la stessa piattaforma ThingWorx, è consigliabile utilizzare questa opzione per evitare che tutti i servizi di elenco tentino di autenticare lo stesso utente.
Tenere tuttavia presente che questo prefisso viene rimosso dal nome utente trasmesso ad Active Directory. Se il prefisso specificato corrisponde al dominio Active Directory dell'utente, l'utente non può accedere ad Active Directory.
Ad esempio:
1. DOMAIN\ è specificato come Provisioned User's Default Domain Prefix.
2. L'utente DOMAIN\user1 tenta di accedere a ThingWorx Platform.
3. DOMAIN\ viene rimosso dal nome utente che viene passato ad Active Directory e l'utente user1 non può eseguire l'accesso.
Questo problema non influisce attualmente su un servizio di elenco di Active Directory con l'opzione Accesso utente dinamico attivata.
Per ovviare a questo problema, attenersi alle procedure descritte di seguito.
• Evitare di utilizzare il prefisso del dominio di default (soluzione preferita) - Evitare di utilizzare l'impostazione del prefisso del dominio di default dell'utente quando l'opzione Accesso utente dinamico è attivata.
• Utilizzare un prefisso diverso che deve essere immesso dagli utenti o fare in modo che gli utenti immettano il prefisso del dominio due volte - È possibile specificare un prefisso aggiuntivo che non sia il prefisso DOMAIN\ richiesto per l'accesso tramite DOMAIN\SamAccountName. Ad esempio, si potrebbe avere un prefisso PREFIX- in modo che gli utenti eseguano l'accesso con PREFIX-DOMAIN\prefix.
Torna a Accesso utente dinamico
Risoluzione dei problemi: nome non valido per la proprietà UserExtension
Quando si mappa un attributo di Active Directory a una proprietà UserExtension di ThingWorx, si seleziona un nome della proprietà UserExtension da un menu a discesa. Il seguente messaggio di errore può essere visualizzato nel log applicazioni ThingWorx:
Property name: <property_name> not found
in UserExtensions properties
in UserExtensions properties
L'errore è causato dalle condizioni descritte di seguito.
• Il file XML importato per il servizio di elenco di Active Directory contiene un nome non valido per la proprietà userExtensionPropertyName.
• Un utente esegue l'accesso e viene autenticato dal servizio di elenco di Active Directory con la proprietà userExtensionPropertyName non valida configurata.
Questo errore può verificarsi se il file XML è stato modificato manualmente. È possibile rimuovere la voce non valida dalla tabella delle mappature delle proprietà UserExtension nella pagina Configurazione dell'entità servizio di elenco in ThingWorx Composer.