LDAP 통합 문제 해결
LDAP 서버를 통합 중이고 궁금한 점이 있으면 다음 항목이 문제 해결에 도움이 될 수 있습니다.
예비 점검
- LDAP를 사용할 수 없는 경우 사용자는 인스턴스에 로그인할 수 없습니다. LDAP가 다운되어도 관리자가 인스턴스에 계속 접근할 수 있도록 관리자용 로컬 계정을 갖는 것이 좋습니다.
- 서비스 계정이 만료되었거나 잠겨 있지 않은지 확인합니다.
- 사용자 이름의 형식을 확인하십시오. 사용자 이름만 사용하는 대신 사용자 이름 또는 username@domain가 있는 도메인을 사용해 보십시오.
ldap_server_config기록의system_id항목을 변경했는지 확인합니다. 업데이트 세트를 사용하여 의도치 않게system_id수정하면 대상 인스턴스에 대해 잘못된 노드를 가리키고 작동하지 않system_id.
오류 코드
LDAP 로그 파일에는 LDAP와 Active Directory(AD)에 대한 업계 표준 오류 코드가 나열됩니다. LDAP 로그 파일은 래퍼 파일에 포함되어 있습니다. LDAP 오류 코드는 2자리 숫자이고 Active Directory 오류 코드는 3자리 숫자입니다. 가장 일반적인 오류 코드 목록은 LDAP 오류 코드를 참조하십시오.
다중 도메인 통합
동일한 포리스트 내에서 또는 완전히 신뢰할 수 없는 도메인에서 여러 도메인을 통합할 수 있습니다. 각 도메인에 대해 별도의 LDAP 서버 기록 을 만드는 것이 좋습니다. 각 LDAP 서버 기록은 해당 도메인의 도메인 컨트롤러를 가리켜야 합니다. 즉, 각 도메인 컨트롤러에 대한 연결을 허용해야 합니다. 하나의 LDAP 계정으로 LDAP를 통한 여러 AD 포리스트는 지원되지 않습니다.
둘 이상의 도메인으로 확장하는 경우 애플리케이션 사용자 이름에 대한 고유한 LDAP 속성을 식별하고 병합 값을 임포트하는 것이 중요합니다. Active Directory의 일반적인 고유 병합 속성은 objectSid입니다. LDAP 데이터 설계에 따라 고유한 사용자 이름이 달라집니다. 일반적인 고유 특성은 email 또는 userPrincipalName입니다.
수신 기록
참조 필드에서 일치하는 값이 누락된 수신 LDAP 기록을 통합에서 처리하는 방법을 설정하려면 문서를 참조하십시오 LDAP 변환 맵 .
일반 인증 오류
- 사용자가 로그인할 수 없음(잘못된 DN)
- 잘못된 CN
- 잘못된 연결
자동 LDAP 연결 테스트
LDAP 서버에 대한 연결을 수동으로 테스트하거나 연결을 자동으로 테스트하도록 허용 ServiceNow 할 수 있습니다.
- 사용자가 LDAP 서버 양식을 열 때마다.
- 기본적으로 15분마다 실행되는 LDAP 연결 테스트 예약 작업을 통해
이 예약된 작업이 실행되는 빈도를 변경할 수 있습니다. 이 예약된 작업으로 연결을 설정할 수 없는 경우 5분 후 또는 예약된 작업의 반복 간격 값의 절반 중 먼저 발생하는 시점 후에 새 일회성 예약 작업이 연결 테스트를 다시 시도합니다.