Skip to main content
Si tiene problemas con su conector AD/LDAP, lea la información a continuación para aprender a solucionar los problemas más comunes.

Ejecute la herramienta de diagnóstico

Puede ejecutar la herramienta de diagnóstico en la consola de administración de AD/LDAP Connector o, fuera de ella, ejecutar el programa manualmente. Para detectar problemas con los certificados, establezca la variable CONNECTIONS_API_V2_KEY en el archivo de configuración de AD/LDAP Connector.

En la consola de administración

Puede ejecutar la herramienta de solución de problemas en la consola de administración.
  1. Cambie a la vista Solución de problemas para leer los registros.
    Pantalla de solución de problemas de la consola de administración del Conector AD/LDAP
  2. Seleccione Ejecutar para detectar los problemas más comunes relacionados con el Conector AD/LDAP.

Fuera de la Consola de administración

Puede iniciar la herramienta de resolución de problemas fuera de la Consola de administración.

Windows

En un equipo Windows, ejecute el archivo de comandos proporcionado para iniciar la herramienta de solución de problemas.
  1. Busque la carpeta del Conector AD/LDAP (AD LDAP Connector).
  2. Ejecute el archivo troubleshoot.cmd.
Por ejemplo: C:\Program Files (x86)\Auth0\AD LDAP Connector\troubleshoot.cmd.
Pantalla de la herramienta de solución de problemas del Conector AD/LDAP

Linux

En un equipo Linux, ejecute el programa de Node.js proporcionado para iniciar la herramienta de solución de problemas.
  1. Abra una nueva ventana de terminal.
  2. Cambie el directorio de trabajo a la carpeta del AD/LDAP Connector (AD LDAP Connector).
  3. Ejecute el comando node troubleshoot.js.

Problemas de instalación y configuración

Después de hacer clic en Guardar, la Consola de administración del Connector AD/LDAP realiza una serie de pruebas para validar la información proporcionada. Los resultados de las pruebas se muestran bajo el encabezado Registro de Configuration. La Consola de administración realiza las siguientes pruebas:
  • Prueba 1: Intenta establecer una conexión TCP con el servidor LDAP y el puerto especificados. Si la Prueba 1 falla, verifique la conectividad básica de red y la configuración del firewall que podría impedir esa conexión.
  • Prueba 2: Intenta realizar una operación de bind de LDAP en el servidor LDAP y el puerto especificados con el username y la contraseña proporcionados. Si la Prueba 2 falla, verifique la cadena de conexión LDAP, la ruta de búsqueda, el username y la contraseña.
  • Prueba 3: Intenta realizar una búsqueda LDAP en el directorio para comprobar los privilegios del username especificado. Si la Prueba 3 falla, verifique los privilegios del username en el directorio de destino.
  • Prueba 4: Intenta establecer una conexión con el servidor de Auth0. Si la Prueba 4 falla, verifique la conectividad de red y la configuración del firewall que podría impedir esa conexión.

Problemas comunes y soluciones

A continuación se enumeran varios problemas comunes y sus soluciones.

Las solicitudes de autenticación tardan demasiado en procesarse

De forma predeterminada, el Auth0 AD/LDAP Connector importa la pertenencia a grupos de un usuario desde Active Directory y la incluye en el objeto user. Este comportamiento requiere que el AD/LDAP Connector realice consultas adicionales en Active Directory, lo que puede aumentar significativamente la duración del proceso de autenticación. Si no necesita que se devuelvan los grupos en el perfil de usuario, Auth0 recomienda deshabilitar explícitamente la variable GROUPS en el archivo de configuración del AD/LDAP Connector.

El uso de CPU del host es alto

Si el uso de CPU en la máquina que aloja el AD/LDAP Connector es constantemente alto (por ejemplo, un uso sostenido superior al 60 %), existen varias estrategias de mitigación.

Desinstale los servicios no esenciales

Desinstale cualquier servicio no esencial en la máquina host que pueda estar consumiendo ciclos de CPU.

Modificar la configuración de importación de grupos

Si no necesita que los grupos se incluyan en el perfil de usuario, desactive la importación de grupos como se describe en Las solicitudes de autenticación tardan demasiado en procesarse. Si sí necesita que los grupos se incluyan en el perfil de usuario, investigue qué grupos se están devolviendo en los perfiles de usuario de Auth0. Las consultas a grupos anidados y recursivos pueden provocar un uso elevado de CPU. Si es posible, haga pruebas con la importación de grupos desactivada para evaluar el impacto de las consultas de grupos. Para mitigar el impacto, corrija cualquier asignación de grupos recursiva o problemática en su servidor AD/LDAP y/o aumente el valor de la variable GROUPS_CACHE_SECONDS en el archivo de configuración del Conector AD/LDAP.

Evalúe el volumen de usuarios activos

Compruebe si el número de usuarios activos que usan el Conector AD/LDAP ha aumentado desde que lo implementó inicialmente. Puede evaluarlo con su propia solución de monitorización, o bien obtener una estimación a partir del informe de usuarios activos de Auth0.
En entornos de Microsoft Windows Server, Microsoft System Center Operations Manager (SCOM) puede configurarse para supervisar y generar alertas sobre el estado del servicio del Conector AD/LDAP. Para obtener más información, consulte Supervisar el Conector AD/LDAP con System Center Operations Manager.
Si el número de usuarios activos ha aumentado y ya se siguieron todos los pasos anteriores, es posible que deba actualizar las especificaciones de hardware del host o configurar un entorno de alta disponibilidad.

Desfase del reloj

El conector requiere que el reloj del servidor esté sincronizado con el servicio de Auth0. El umbral máximo permitido es de 5 segundos. Si hay un desfase del reloj, verá una salida como esta en el solucionador de problemas y en los registros del conector: 
12:18:55 - info: * Testing clock skew...
12:18:55 - error: × Clock skew detected:
12:18:55 - error: > Local time: 2020-05-04 12:18:55
12:18:55 - error: > Auth0 time: 2020-05-04 12:19:10
Asegúrese de que el reloj de su servidor esté en hora. Si la hora no es correcta, las solicitudes de autenticación fallarán. Esto puede solucionarse asegurándose de que el sistema esté configurado correctamente para consultar un servidor de sincronización mediante el Protocolo de tiempo de red (NTP). En entornos Windows, el proveedor de NTP suele ser el mismo controlador de dominio. Asegúrese de que su controlador de dominio esté sincronizado con algún servicio externo. Para obtener información sobre cómo sincronizar su entorno de Active Directory con un servidor horario externo, lea How to configure NTP server in Active Directory, Step by step on renanrodrigues.com. Si no está seguro de si el reloj de su servidor está sincronizado con NTP, vaya a https://nist.time.gov y compare la hora de esa página con la hora del servidor donde se está ejecutando el conector. No debería haber una diferencia de más de un (1) segundo entre ambas.

Sin conexión con Active Directory

El Connector de AD/LDAP debe estar instalado en un servidor que pueda acceder a su servidor LDAP. Cuando hay firewalls y conexiones VPN entre el Connector de AD/LDAP y el servidor LDAP, es posible que experimente problemas de conectividad. Si está configurando una red de Windows con Active Directory, use el comando nltest. Por ejemplo, para comprobar si un equipo específico puede acceder al dominio fabrikam.local, use nltest /dsgetdc:fabrikam.local. Para ver a qué dominio está conectado el servidor actual, use nltest /dsgetdc:. Si un dominio no existe o no se puede localizar, nltest devolverá un mensaje de error: Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN.

Mensaje de error UNABLE_TO_VERIFY_LEAF_SIGNATURE (Private Cloud)

Este error se aplica al Connector AD/LDAP en combinación con Private Cloud. Este mensaje de error se produce cuando el Connector AD/LDAP no logra iniciarse porque no puede validar el certificado SSL configurado en Private Cloud. Esto puede ocurrir cuando el certificado raíz (o cualquiera de los certificados intermedios) no está presente en el almacén de certificados del equipo (Windows). Para resolverlo, importe la cadena de certificados en el almacén de certificados Local Machine > Trusted Root del equipo donde está instalado el Connector AD/LDAP.

Conector detrás de un proxy

Si la máquina que hospeda el conector está detrás de un proxy, puede configurar una variable de entorno del sistema HTTP_PROXY o establecer la variable HTTP_PROXY en el archivo de configuración del Conector AD/LDAP. Si usa un proxy autenticado, la URL debe tener el formato http://USERNAME:PASSWORD@SERVER_URL:PORT.
Si configura variables de entorno del sistema o modifica el archivo de configuración del Conector AD/LDAP, debe reiniciar el Conector AD/LDAP para que los cambios surtan efecto.
La URL de HTTP_PROXY debe ser la URL del propio proxy y no puede apuntar a un archivo .pac (de configuración automática). Si su proxy está configurado mediante un archivo .pac, descargue el archivo .pac y busque allí la URL del proxy. Una configuración incorrecta del proxy puede provocar varios errores, como Auth0 servers not reachable y SELF_SIGNED_CERT_IN_CHAIN. Si ha configurado una URL de proxy y reiniciado el Conector AD/LDAP, pero sigue viendo errores SELF_SIGNED_CERT_IN_CHAIN, asegúrese de que su servidor confíe en el certificado raíz del proxy. En un equipo con Windows, puede comprobarlo abriendo certmgr.msc y buscando el certificado de su proxy. Para obtener más información, consulte Proxy auto config (PAC) on Wikipedia.

Sin conexión a Internet

Asegúrese de que su servidor pueda conectarse a su inquilino de Auth0 (https://{yourDomain}). Para comprobarlo, abra un navegador y vaya a https://{yourDomain}/test.

Permisos de la cuenta de servicio

La cuenta de servicio utilizada para configurar el Conector AD/LDAP debe tener permisos de read en el servidor AD/LDAP y debe ser capaz de consultar los grupos de los usuarios.

Problemas con Kerberos

Para habilitar el registro detallado de las solicitudes de Kerberos:
  1. Agregue DEBUG=kerberos-server como variable de entorno del sistema.
  2. Reinicie el AD/LDAP Connector.
  3. Inicie sesión.
  4. Revise los registros para obtener más información.
Si tiene Kerberos habilitado, pero a sus usuarios se les solicita username/contraseña, verifique que la configuración de la dirección IP sea correcta. Para obtener más información, consulte Configure AD/LDAP Connector Authentication with Kerberos.

Los cambios en el perfil de usuario en AD no se reflejan de inmediato en la aplicación

El AD/LDAP Connector utiliza dos niveles de caché configurables:
  1. Servidor de Auth0: almacena en caché tanto las credenciales del usuario como su perfil.
  2. AD/LDAP Connector: almacena en caché la pertenencia de un usuario a grupos.
La configuración de estos ajustes determina con qué rapidez los cambios en su directorio pueden reflejarse en el perfil de un usuario cuando inicia sesión en su aplicación o aplicaciones. En algunas instalaciones de AD/LDAP, la sincronización de los atributos del usuario puede tardar unos minutos.

Almacenamiento en caché en el servidor de Auth0

El servidor de Auth0 almacena en caché el último perfil del usuario autenticado correctamente, incluido un hash de su username y contraseña. Está habilitado de forma predeterminada, pero se puede deshabilitar. El objetivo de esta caché de primer nivel es maximizar la disponibilidad de las transacciones de autenticación cuando AD no está disponible, por ejemplo, durante una interrupción de la red. Solo se activa si el AD/LDAP Connector o los servidores AD/LDAP no están disponibles.

Almacenamiento en caché en el Conector AD/LDAP

El Conector AD/LDAP almacena en caché las pertenencias de un usuario a grupos. La duración de esta caché viene determinada por la variable GROUPS_CACHE_SECONDS en el archivo de configuración del Conector AD/LDAP, con un valor predeterminado de 600 (segundos). El objetivo de esta caché de segundo nivel es minimizar el tiempo de ejecución. De forma predeterminada, el Conector AD/LDAP recupera de forma recursiva todas las pertenencias a grupos de un usuario, lo que puede resultar costoso en algunas instalaciones de AD/LDAP. Esta caché se elimina cada vez que se reinicia el Conector AD/LDAP.

El Connector se reinicia después del mensaje “auth0: Connection closed.” en el registro

Para evitar la necesidad de tener un puerto de entrada abierto en sus servidores, el AD/LDAP Connector crea una conexión WebSocket con un nodo disponible del clúster de servidores de Auth0 y la mantiene abierta para escuchar los mensajes entrantes de Auth0. Aproximadamente una vez al día (aunque la frecuencia puede variar en determinadas circunstancias), cada nodo del servidor cierra la conexión para permitir que se lleven a cabo procesos internos de implementación. El AD/LDAP Connector detecta que la conexión se ha cerrado y finaliza el proceso, lo que permite que la pila de servicios lo reinicie, cree una nueva conexión con un nodo disponible y reanude las operaciones. Para evitar cualquier tiempo de inactividad, habilite la caché:
  1. Vaya a Auth0 Dashboard > Authentication > Enterprise y seleccione el tipo de conexión Active Directory/LDAP.
  2. Seleccione su conexión AD/LDAP.
  3. Cambie a la vista Applications y habilite la conexión para las aplicaciones que desee.
  4. Seleccione Save.

Aparece el error “postUrl is required”

Es posible que aparezca este error si no completaste la configuración adicional de un dominio personalizado. Para usar conexiones AD/LDAP con compatibilidad con Kerberos, debes actualizar el endpoint de Ticket para que funcione con el :
  1. Abre el archivo de configuración del AD/LDAP Connector.
  2. Establece la variable de configuración PROVISIONING_TICKET en https://{yourDomain}/p/ad/jUG0dN0R.
  3. Reinicia el AD/LDAP Connector.

No se puede verificar localmente el certificado del emisor

Si recibe el error UNABLE_TO_GET_ISSUER_CERT_LOCALLY después de configurar un Conector AD/LDAP, es posible que falte la autoridad de certificación en el equipo.
  • Si su inquilino está en el entorno de nube pública, verifique que el certificado ISRG Root X1 esté en el almacén de confianza del equipo en el que está instalado el Conector AD/LDAP.
  • Si se encuentra en el entorno de plataforma convergente, agregue el certificado ISRG Root X2 al almacén de confianza del equipo en el que está instalado el Conector AD/LDAP.
Si está configurando un entorno de alta disponibilidad y encuentra este error en un equipo adicional, verifique que las autoridades de certificación raíz de confianza del equipo adicional coincidan con las del equipo inicial.

Contactar con el soporte de Auth0

Si no puede resolver por su cuenta ninguno de estos problemas, póngase en contacto con Auth0 Support. Para ayudar al equipo de soporte a diagnosticar el problema, incluya los siguientes elementos en su ticket de soporte:
  1. Descripción del problema.
  2. Una exportación de los archivos de configuración de AD/LDAP.
  3. Una copia de los archivos de registro del servicio:
    • Windows: C:\Program Files (x86)\Auth0\AD LDAP Connector\logs.log
    • Linux: /var/log/auth0-adldap.log
  4. El número de versión de su Conector de AD/LDAP.
    Pantalla de la consola para solucionar problemas del Conector de AD/LDAP

Más información