Проверка
Если все действия по настройке выполнены правильно, то синхронизированные пользователи появятся в списке пользователей, а группы — в списке групп. Если же нет, то можно воспользоваться доступными для проверки средствами.
Базы и журналы агента LDAP
При первом запуске агент LDAP для каждого из разделов файла конфигурации config.ini создает локальную базу данных (<название раздела>.dat) и журнал (<название раздела>.log). Если в каталоге /opt/lsa/data образа LSA есть эти файлы, то это значит, что агент стартовал и прочитал файл конфигурации. Далее можно просмотреть содержимое локальной базы и журнала (нет ли сообщений об ошибках).
Возможные сообщения в журналах:
| Сообщение | Причина |
|---|---|
| GUID not registered | Неверный идентификатор агента |
| Wrong signature | Неверный ключ агента |
| Crypto exception during agent authentication | Ошибка в значении ключа агента |
| IP address is not allowed | Попытка доступа агента с неразрешенного IP-адреса |
| Local user with the same login already exists | Попытка перезаписи локального пользователя синхронизируемым с тем же логином |
| Sync user with the same login already exists | Попытка перезаписи одного синхронизируемого пользователя другим с тем же логином |
| Failed to delete the last account manager | Ошибка удаления последнего менеджера непустого аккаунта |
| Admin with the same email already exists | Администратор с таким имейлом уже существует |
| Failed to delete user due to user not found | При удалении пользователь не найден |
| Failed agent authentication on the virtual server | Неуспешная аутентификация агента на SAS |
| Failed to add user into the group | Ошибка добавления пользователя в группу |
| Failed to remove user from the group | Ошибка удаления пользователя из группы |
| User already in the group | Пользователь уже в группе |
| Error with database connection for virtual server | Ошибка при работе с локальной базой данных |
| Can't create tables for virtual server | Ошибка при создании таблиц в локальной базе данных |
| SSL error during connect to the first/second SAS server | Ошибка SSL соединения при доступе к первому/второму серверу аутентификации |
| The first/second LDAP server is not available | Первый/второй LDAP сервер недоступен |
Журнал Docker
Если в файле конфигурации config.ini допущены ошибки, то образ LSA запустится, но агент LDAP работать не будет, локальные базы данных и журналы не будут созданы, при этом в журнал Docker для контейнера с образом LSA будет добавлено сообщение:
Error during config parsing
Проверить это можно командой:
# docker logs -f lsa
tcpdump
Эту команду можно использовать для анализа трафика синхронизации на стороне агента или модуля синхронизации. Она включена в образы контейнеров LSA (агент LDAP).
Формат (выдержка):
| Команда | Описание |
|---|---|
| tcpdump | Запустить захват и вывод сетевых пакетов |
| [-v] | Выводить в расширенном объеме |
| [-vv] | Выводить в максимальном объеме |
| [-n] | IP-адреса и номера портов вместо имен |
[-i] <интерфейс> | Захватывать пакеты на сетевом интерфейсе <интерфейс> |
| [port <порт>] | Захватывать только пакеты на порт протокола <порт> |
| [host <хост>] | Захватывать только пакеты на/от машины <хост> |
| [and/or/not] | Пересекать/Объединять/Исключать условия |
Примеры:
# tcpdump -vv port https
# tcpdump host dc.demo.local and port ldaps