Skip to main content
AD/LDAP Connector で問題が発生している場合は、以下を参照して一般的な問題の対処方法を確認してください。

トラブルシューティング ツールを実行する

トラブルシューティング ツールは、AD/LDAP Connector Admin Console から実行することも、Admin Console の外でプログラムを手動で実行することもできます。 証明書に関する問題を検出するには、AD/LDAP Connector 設定ファイルCONNECTIONS_API_V2_KEY 変数を設定します。

Admin Console で

Admin Console でトラブルシューティングツールを実行できます。
  1. Troubleshooting ビューに切り替えて、ログを確認します。
    AD/LDAP Connector Admin Console のトラブルシューティング画面
  2. Run を選択して、AD/LDAP Connector に関するよくある問題を検出します。

Admin Console の外から

Admin Console の外からトラブルシューティング ツールを起動できます。

Windows

Windows マシンでは、付属のコマンドファイルを実行してトラブルシューティングツールを起動します。
  1. AD/LDAP Connector フォルダー (AD LDAP Connector) を探します。
  2. troubleshoot.cmd ファイルを実行します。
例: C:\Program Files (x86)\Auth0\AD LDAP Connector\troubleshoot.cmd
AD/LDAP Connector トラブルシューティングツールの画面

Linux

Linux マシンでは、付属の Node.js プログラムを実行してトラブルシューティングツールを起動します。
  1. 新しいターミナルウィンドウを開きます。
  2. 作業ディレクトリを AD/LDAP Connector フォルダー (AD LDAP Connector) に移動します。
  3. node troubleshoot.js コマンドを実行します。

インストールと設定に関する問題

Save をクリックすると、AD/LDAP Connector Admin Console は入力された情報を検証するために一連のテストを実行します。テスト結果は、Configuration log 見出しの下に表示されます。 Admin Console は次のテストを実行します。
  • Test 1: 指定された LDAP サーバーおよびポートへの TCP 接続の確立を試みます。Test 1 が失敗した場合は、その接続を妨げている可能性のある基本的なネットワーク接続とファイアウォールの設定を確認してください。
  • Test 2: 指定された LDAP サーバーおよびポートに対して、指定されたユーザー名とパスワードを使用した LDAP バインドを試みます。Test 2 が失敗した場合は、LDAP 接続文字列、検索パス、ユーザー名、パスワードを確認してください。
  • Test 3: ディレクトリに対して LDAP 検索を実行し、指定されたユーザー名の権限を確認します。Test 3 が失敗した場合は、対象ディレクトリでのそのユーザー名の権限を確認してください。
  • Test 4: Auth0 サーバーへの接続の確立を試みます。Test 4 が失敗した場合は、その接続を妨げている可能性のあるネットワーク接続とファイアウォールの設定を確認してください。

よくある問題と解決策

よくある問題とその解決策を以下に示します。

認証リクエストの処理に時間がかかりすぎる

デフォルトでは、Auth0 AD/LDAP Connector はユーザーのグループ メンバーシップを Active Directory から取り込み、それらを user オブジェクトに含めます。 この動作では、AD/LDAP Connector が Active Directory に対して追加のクエリを実行する必要があるため、認証プロセスにかかる時間が大幅に増える可能性があります。 ユーザー プロファイルでグループを返す必要がない場合、Auth0 では AD/LDAP Connector 設定ファイルGROUPS 変数を明示的に無効にすることを推奨しています。

ホストのCPU使用率が高い

AD/LDAP Connector をホストしているマシンのCPU使用率が継続的に高い場合 (たとえば、60%を超える状態が続く場合) は、いくつかの対処方法があります。

重要ではないサービスをアンインストールする

CPUサイクルを消費している可能性のある、重要度の低いサービスをホストマシンからアンインストールします。

グループのインポート設定を変更する

ユーザープロファイルにグループを含めて返す必要がない場合は、Authentication requests take too long to process で説明されているように、グループのインポートを無効にしてください。 ユーザープロファイルにグループを含めて返す必要がある場合は、Auth0 のユーザープロファイルで返されているグループを確認してください。ネストされたグループや再帰的なグループに対するクエリは、CPU 使用率の上昇を招く可能性があります。可能であれば、グループクエリの影響を評価するため、グループのインポートを無効にした状態でテストしてください。 影響を軽減するには、AD/LDAP サーバー内の再帰的なグループ割り当てやその他の問題のあるグループ割り当てを修正するか、AD/LDAP Connector 設定ファイルGROUPS_CACHE_SECONDS 変数の値を増やしてください。

アクティブユーザー数を評価する

AD/LDAP Connector を使用しているアクティブユーザー数が、初回導入時から増加しているかどうかを確認してください。これを評価するには、ご自身の監視ソリューションを使用するか、Auth0 のアクティブユーザーレポートから概算を取得できます。
Microsoft Windows Server 環境では、Microsoft System Center Operations Manager (SCOM) を使用して、AD/LDAP Connector のサービス状態の監視とアラート通知を設定できます。詳細については、System Center Operations Manager を使用した AD/LDAP Connector の監視を参照してください。
アクティブユーザー数が増加しており、かつ上記のすべての手順をすでに実施している場合は、ホストマシンのハードウェアスペックをアップグレードするか、高可用性環境を構成する必要がある可能性があります。

時刻のずれ

このコネクタでは、サーバーの時刻が Auth0 サービスと同期されている必要があります。許容される最大のずれは 5 秒です。 時刻のずれがある場合、トラブルシューターとコネクタのログに次のような出力が表示されます。 
12:18:55 - info: * Testing clock skew...
12:18:55 - error: × Clock skew detected:
12:18:55 - error: > Local time: 2020-05-04 12:18:55
12:18:55 - error: > Auth0 time: 2020-05-04 12:19:10
サーバーの時刻が正確であることを確認してください。時刻が正しくないと、認証リクエストは失敗します。これは、システムが Network Time Protocol (NTP) 経由で同期サーバーに適切に問い合わせるよう設定されていることを確認することで解決できます。Windows 環境では、NTP プロバイダーは通常、同じドメインコントローラーです。ドメインコントローラーが外部サービスと同期されていることを確認してください。 Active Directory 環境を外部のタイムサーバーと同期する方法については、How to configure NTP server in Active Directory, Step by step on renanrodrigues.com を参照してください。 サーバーの時刻が NTP と同期しているか不明な場合は、https://nist.time.gov にアクセスし、そのページに表示される時刻と、コネクターが実行されているサーバーの時刻を比較してください。両者の差は 1 秒を超えないはずです。

Active Directory に接続できない

AD/LDAP Connector は、LDAP サーバーに接続できるサーバーにインストールする必要があります。AD/LDAP Connector と LDAP サーバーの間にファイアウォールや VPN 接続があると、接続の問題が発生する場合があります。 Active Directory を使用する Windows ネットワークを構成している場合は、nltest コマンドを使用します。たとえば、特定のマシンが fabrikam.local ドメインに接続できるかどうかをテストするには、nltest /dsgetdc:fabrikam.local を使用します。 現在のサーバーがどのドメインに接続されているかを確認するには、nltest /dsgetdc: を使用します。 ドメインが存在しない、または接続できない場合、nltest は次のエラーメッセージを返します: Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

UNABLE_TO_VERIFY_LEAF_SIGNATURE エラーメッセージ (Private Cloud)

このエラーは、Private Cloud と組み合わせて使用される AD/LDAP Connector に適用されます。 このエラーメッセージは、Private Cloud に設定された SSL 証明書を検証できず、AD/LDAP Connector の起動に失敗した場合に発生します。これは、ルート証明書 (または中間証明書) がマシンの証明書ストア (Windows) に存在しない場合に起こることがあります。これを解決するには、AD/LDAP Connector がインストールされているマシンの Local Machine > Trusted Root 証明書ストアに証明書チェーンをインポートしてください。

プロキシ配下の Connector

コネクタをホストしているマシンがプロキシ配下にある場合は、HTTP_PROXY システム環境変数を設定するか、AD/LDAP Connector 設定ファイルHTTP_PROXY 変数を設定できます。認証付きプロキシを使用する場合、URL は http://USERNAME:PASSWORD@SERVER_URL:PORT 形式で指定する必要があります。
システム環境変数を設定した場合、または AD/LDAP Connector 設定ファイル を変更した場合は、変更を反映するために AD/LDAP Connector を再起動する必要があります。
HTTP_PROXY の URL には、プロキシ自体の URL を指定する必要があり、.pac (自動構成) ファイルを指定することはできません。プロキシが .pac ファイルで構成されている場合は、その .pac ファイルをダウンロードし、そこからプロキシ URL を確認してください。 プロキシの設定が正しくないと、Auth0 servers not reachableSELF_SIGNED_CERT_IN_CHAIN などのエラーが発生することがあります。 プロキシ URL を設定して AD/LDAP Connector を再起動しても、引き続き SELF_SIGNED_CERT_IN_CHAIN エラーが表示される場合は、サーバーがプロキシのルート証明書を信頼していることを確認してください。Windows マシンでは、certmgr.msc を開き、プロキシの証明書があるかどうかを確認できます。詳細については、Proxy auto config (PAC) on Wikipedia を参照してください。

インターネットに接続されていません

サーバーが Auth0 テナント (https://{yourDomain}) に接続できることを確認してください。 確認するには、ブラウザーで https://{yourDomain}/test を開いてください。

サービス アカウントの権限

AD/LDAP Connector の設定に使用するサービス アカウントには、AD/LDAP サーバーに対する read 権限が必要であり、ユーザーが所属するグループを照会できなければなりません。

Kerberos の問題

Kerberos リクエストの詳細ログを有効にするには、次の手順を実行します。
  1. システム環境変数として DEBUG=kerberos-server を追加します。
  2. AD/LDAP Connector を再起動します。
  3. ログインします。
  4. ログを確認して詳細情報を確認します。
Kerberos を有効にしているにもかかわらず、ユーザーにユーザー名とパスワードの入力が求められる場合は、IP アドレスの設定が正しく構成されていることを確認してください。詳細については、Configure AD/LDAP Connector Authentication with Kerberos を参照してください。

AD のユーザープロファイルの変更がアプリにすぐには反映されない

AD/LDAP Connector では、設定可能なキャッシュが 2 層で使用されます。
  1. Auth0 サーバー: ユーザーの認証情報とプロファイルの両方をキャッシュします。
  2. AD/LDAP Connector: ユーザーのグループ メンバーシップをキャッシュします。
これらの設定により、ディレクトリ内の変更がアプリケーションへのログイン時にユーザープロファイルへどの程度速やかに反映されるかが決まります。一部の AD/LDAP 環境では、ユーザー属性の同期に数分かかることがあります。

Auth0 サーバーでのキャッシュ

Auth0 サーバーは、ユーザー名とパスワードのハッシュを含む、ユーザーが最後に認証に成功したときのプロファイルをキャッシュします。これはデフォルトで有効になっており、無効にすることもできます。 この第1レベルのキャッシュの目的は、ネットワーク障害時など、AD が利用できない場合でも認証トランザクションの可用性を最大限に高めることです。これは、AD/LDAP Connector または AD/LDAP サーバーが利用できない場合にのみ機能します。

AD/LDAP Connector のキャッシュ

AD/LDAP Connector は、ユーザーのグループメンバーシップをキャッシュします。このキャッシュの保持期間は、AD/LDAP Connector 設定ファイル 内の GROUPS_CACHE_SECONDS 変数で決まり、デフォルト値は 600 秒です。 この第2レベルキャッシュの目的は、実行時間を短縮することです。デフォルトでは、AD/LDAP Connector はユーザーが属するすべてのグループを再帰的に取得しますが、AD/LDAP 環境によっては、この処理に大きな負荷がかかることがあります。このキャッシュは、AD/LDAP Connector を再起動するたびに削除されます。

ログに “auth0: Connection closed.” というメッセージが表示された後にコネクタが再起動する

サーバーで受信用のインバウンドポートを開放せずに済むよう、AD/LDAP Connector は Auth0 のサーバークラスター内の利用可能なノードに websocket 接続を作成し、その接続を開いたまま維持して Auth0 からのメッセージを待ち受けます。 各サーバーノードは、内部的なデプロイ処理を実行できるようにするため、1 日に 1 回程度 (状況によって頻度は異なる場合があります) 接続を終了します。AD/LDAP Connector は接続が閉じられたことを検知するとプロセスを終了し、サービススタックによってプロセスが再起動され、利用可能なノードへの新しい接続が作成されて、処理が再開されます。 ダウンタイムを回避するには、キャッシュを有効にします。
  1. Auth0 Dashboard > Authentication > Enterprise に移動し、Active Directory/LDAP 接続タイプを選択します。
  2. AD/LDAP 接続を選択します。
  3. Applications ビューに切り替え、対象のアプリケーションでその接続を有効にします。
  4. Save を選択します。

「postUrl is required」エラーが表示される

カスタムドメイン の追加設定が完了していない場合、このエラーが表示されることがあります。 Kerberos をサポートする AD/LDAP 接続を使用するには、Ticket エンドポイントが で機能するように更新する必要があります。
  1. AD/LDAP Connector 設定ファイル を開きます。
  2. PROVISIONING_TICKET 設定変数を https://{yourDomain}/p/ad/jUG0dN0R に設定します。
  3. AD/LDAP Connector を再起動します。

発行元証明書をローカルで検証できない

AD/LDAP Connector の設定後に UNABLE_TO_GET_ISSUER_CERT_LOCALLY エラーが表示される場合は、お使いのマシンに認証局の証明書が存在しない可能性があります。
  • テナントがパブリッククラウド環境にある場合は、AD/LDAP Connector がインストールされているマシンの Trusted Store に ISRG Root X1 certificate が含まれていることを確認してください。
  • converged platform 環境を使用している場合は、AD/LDAP Connector がインストールされているマシンの Trusted Store に ISRG Root X2 certificate を追加してください。
高可用性環境 を設定していて、追加のマシンでこのエラーが発生している場合は、その追加マシンの Trusted Root Certificate Authorities が初期マシンの Trusted Root Certificate Authorities と一致していることを確認してください。

Auth0サポートへのお問い合わせ

これらの問題を自力で解決できない場合は、Auth0 Supportにお問い合わせください。 サポートチームが問題を調査しやすいように、サポートチケットには次の項目を含めてください。
  1. 問題の説明。
  2. AD/LDAP 設定ファイルのエクスポート
  3. サービスログファイルのコピー:
    • Windows: C:\Program Files (x86)\Auth0\AD LDAP Connector\logs.log
    • Linux: /var/log/auth0-adldap.log
  4. AD/LDAP Connector のバージョン番号。
    AD/LDAP Connector Console のトラブルシューティング画面

詳細情報