Устранение неисправностей Active Directory
В этой главе представлены следующие разделы, помогающие устранять проблемы с Active Directory.
Сбой при импорте сущности с ошибкой невозможности преобразования
При импорте сущности Active Directory сбой импорта возникает, только когда значение, указанное в XML-файле, не соответствует типу данных поля. Например, если при импорте указано значение test для элемента <port>, будет иметь место сбой импорта. Фрагмент кода XML, который показывает, когда эта проблема может возникать:
<Row>
<adminPassword><![CDATA[]]></adminPassword>
<adminPrincipal><![CDATA[CN=Administrator,CN=Users,DC=domain,DC=com]]></adminPrincipal>
<domain><![CDATA[dc=domain,dc=com]]></domain>
<port>test</port> <================================ INVALID DATA TYPE VALUE FOR <port>. MUST BE AN INTEGER.
<protocol><![CDATA[LDAP]]></protocol>
<server><![CDATA[10.80.21.164]]></server>
</Row>
Снимок экрана, который показывает, что пользователь увидит в Composer:
В журнал приложения записываются следующие ошибки:
ERROR: [message: Conversion Error on Field port : Unable To Convert From com.sun.org.apache.xerces.internal.dom.ElementNSImpl to INTEGER]
ERROR: Entity import failed
Для устранения проблемы тщательно проверьте XML, чтобы убедиться, что предоставленные значения имеют соответствующий тип данных.
Вернуться к разделу
Приступая к работеСбой при проверке импорта, но импорт выполнен успешно
Для сценариев, в которых возникают сбои проверки из-за недостающего обязательного поля или недопустимой конфигурации, сущность службы каталогов все еще может импортироваться, но будет помечена как отключенная. Чтобы включить сущность, необходимо обновить недействительные поля.
| Сущность службы каталогов не может использоваться для аутентификации, пока она не включена. Процесс включения сущности службы каталогов, которая была импортирована как отключенная, выполняется вручную. Необходимо перейти к отключенной сущности в ThingWorx Composer, включить ее и сохранить. |
Пример недопустимой конфигурации с комментарием под недопустимым параметром (protocol):
<Row>
<adminPassword><![CDATA[]]></adminPassword>
<adminPrincipal><![CDATA[CN=Administrator,CN=Users,DC=domain,DC=com]]></adminPrincipal>
<domain><![CDATA[dc=domain,dc=com]]></domain>
<port>test</port>
<protocol><![CDATA[INVALID-PROTOCOL]]></protocol>
<== INVALID CONFIGURATION VALUE FOR <protocol>. MUST BE EITHER LDAP OR LDAPS.
<server><![CDATA[10.80.21.164]]></server>
</Row>
Отметим, что этот объект успешно импортируется в ThingWorx:
Однако заметим, что флажок Включено на самой сущности не установлен, а значит, сущность отключена. Пример:
Для этого сценария в журнале приложения появляется следующая ошибка:
ERROR: Directory Service Error: The URI Scheme must be LDAP or LDAPS
Вернуться к разделу
Приступая к работеСообщения об ошибках конфигурации
В следующей таблице перечислены возможные сообщения об ошибках, которые могут отображаться в журнале приложений из-за неверно настроенных полей в сущности Active Directory. Ниже приведена краткая таблица, в которой предоставлены ссылки на разделы конфигурации, перечисленные в этой таблице.
Сообщения об ошибках конфигурации
Поле | Раздел конфигурации | Сообщение об ошибке |
---|
Схема URI | Настройки подключения | Directory Service Error: The URI Scheme must be LDAP or LDAPS. |
Полное доменное имя или IP-адрес сервера Сетевой порт сервера | Настройки подключения | Ошибка службы каталогов: полное доменное имя или IP-адрес сервера не могут иметь значение null. Ошибка службы каталогов: java.net.MalformedURLException: Not an LDAP URL: <IP>:<Port> Cannot parse url: <IP><Port Ошибка службы каталогов: java.net.ConnectException: Connection refused (Connection refused) to 'Server FQDN or IP address' and 'Server Network Port' <IP>:<Port> |
Сетевой порт сервера | Настройки подключения | Ошибка службы каталогов: сетевой порт сервера должен иметь номер в диапазоне от 0 до 65535. |
Различающееся имя домена | Настройки подключения | Ошибка службы каталогов: домен не может иметь значение null. |
Имя административного пользователя | Настройки подключения | Ошибка службы каталогов: имя административного пользователя не может иметь значение null. | Если флажок "Динамическое имя пользователя" не установлен (не помечен), требуется имя административного пользователя. |
|
Административный пароль | Настройки подключения | Ошибка службы каталогов: пароль администратора не может иметь значение null. | Если динамическое имя пользователя не включено, требуется пароль администратора. |
|
Наименование атрибута идентификатора пользователя | Сопоставления схем | Ошибка службы каталогов: attributeUserIdName не может иметь значение null. |
Различающееся имя базы пользователей | Сопоставления схем | Ошибка службы каталогов: userBaseDN не может иметь значение null. |
Наименование класса объекта группы | Сопоставления схем | Ошибка службы каталогов: groupObjectClass не может иметь значение null. |
Наименование атрибута членства в группе | Сопоставления схем | Ошибка службы каталогов: memberOfAttribute не может иметь значение null. |
Наименование атрибута группы | Сопоставления схем | Ошибка службы каталогов: groupAttribute не может иметь значение null. |
Наименование атрибута флагов пользователя | Сопоставления схем | Ошибка службы каталогов: userControlAttribute не может иметь значение null. |
Бит отключения атрибута управления пользователями | Сопоставления схем | Ошибка службы каталогов: userDisableBit не может иметь значение null и должен представлять целое число. |
Бит блокировки атрибута управления пользователями | Сопоставления схем | Ошибка службы каталогов: userLockoutBit не может иметь значение null и должен представлять целое число. |
Наименование группы Active Directory | Сопоставления групп | Ошибка службы каталогов: activeDirectoryGroupName не может иметь значение null. |
Наименование группы ThingWorx | Сопоставления групп | Ошибка службы каталогов: thingworxGroupName не может иметь значение null. |
Главный мэшап по умолчанию инициализированного пользователя | Значения по умолчанию для пользователей | Ошибка службы каталогов: userDefaultHomeMashupName не может представлять недействительное наименование мэшапа. |
Мобильный мэшап по умолчанию инициализированного пользователя | Значения по умолчанию для пользователей | Ошибка службы каталогов: userDefaulMobileMashupName не может представлять недействительное наименование мэшапа. |
Теги по умолчанию инициализированного пользователя | Значения по умолчанию для пользователей | Ошибка службы каталогов: userDefaulTags не может иметь недопустимые теги. Ошибка службы каталогов: userDefaulTags не может иметь недопустимое имя тега. |
Имя пользователя ThingWorx | Список исключений из подготовки учетных записей пользователей | Ошибка службы каталогов: thingworxUserName не может иметь значение null. |
В следующей таблице приведены ссылки на разделы, связанные с разделами конфигурации в приведенной выше таблице.
Раздел конфигурации | Раздел |
---|
Настройки подключения | |
Сопоставления схем | |
Сопоставления групп | |
Значения по умолчанию для пользователей | |
Список исключений из подготовки учетных записей пользователей | |
Устранение неисправностей: префикс домена Active Directory и динамическое имя пользователя.
Служба каталогов Active Directory имеет настройку конфигурации Provisioned User's Default Domain Prefix, которая может мешать динамическому имени пользователя. Ниже приведен набор Значений по умолчанию для пользователей:
Настройка Provisioned User's Default Domain Prefix позволяет указывать префикс, ограничивающий круг пользователей, которые могут аутентифицироваться в службе каталогов. Если имеется несколько служб каталогов Active Directory, настроенных для одной и той же платформы ThingWorx Platform, можно рассмотреть использование этой опции, чтобы предотвратить попытки всех служб каталогов аутентифицировать этого пользователя.
Однако заметим, что этот префикс удаляется из имени пользователя при передаче в Active Directory. Если префикс представляет собой домен Active Directory пользователя, пользователь не сможет войти в систему Active Directory.
Например:
1. DOMAIN\ указывается как Provisioned User's Default Domain Prefix.
2. Пользователь DOMAIN\user1 пытается войти в систему ThingWorx Platform.
3. DOMAIN\ удаляется из имени пользователя, которое передается в Active Directory, и user1 не может войти в систему.
Эта проблема в настоящее время не влияет на службу каталогов Active Directory, в которой отключено динамическое имя пользователя.
Чтобы обойти эту проблему, следуйте приведенным ниже рекомендациям.
• Не используйте префикс домена по умолчанию (предпочтительно) - не используйте настройку по умолчанию префикса домена пользователя при включении динамического имени пользователя.
• Используйте другой префикс, который должны вводить пользователи, или требуйте, чтобы пользователи вводили префикс домена дважды. Можно указать дополнительный префикс, который не является префиксом вида DOMAIN\, который требуется для входа в систему с именем домен\имя_управления_лицензиями. Например, можно указать префикс PREFIX-, и пользователи будут входить в систему с PREFIX-DOMAIN\prefix.
Устранение неисправностей: недействительное имя для свойства UserExtension
При сопоставлении атрибута Active Directory со свойством ThingWorx UserExtension вы выбираете имя свойства UserExtension из выпадающего меню. В журнале приложений ThingWorx может появиться следующее сообщение об ошибке:
Property name: <property_name> not found
in UserExtensions properties
Эта ошибка возникает в следующих случаях.
• XML-файл, импортированный для службы каталогов Active Directory, содержит недопустимое наименование для userExtensionPropertyName И
• Пользователь входит в систему и проходит аутентификацию в службе каталогов Active Directory, содержащей неправильно сконфигурированный параметр userExtensionPropertyName.
Эта ошибка может возникать, если вы редактируете XML-файл вручную. Можно удалить недопустимую запись из таблицы сопоставлений свойств расширения пользователя на странице конфигурации сущности службы каталогов в ThingWorx Composer.