Résoudre les problèmes
La vérification des éléments ci-dessous peut aider à la résolution d’un dysfonctionnement.
SN SSO Agent ne peut pas se connecter au firewall
- Vérifiez la clé de chiffrement SSL (SSLKey), dite clé pré-partagée.
Elle est renseignée dans la configuration du SN SSO Agent (fichier config.ini) ainsi que dans la configuration de la méthode d'authentification "Agent SSO". - Assurez-vous que le port 1301, ou celui que vous avez personnalisé, ne soit pas bloqué par un firewall ou sur la machine hébergeant SN SSO Agent.
Pour cette dernière, vérifiez que les messages transitent correctement par ce port avec la commande :tcpdump port 1301
- Vérifiez les logs depuis l'interface d'administration du firewall dans le module Monitoring > Logs - Journaux d'audit > Événements système.
Aucun utilisateur ne s'authentifie sur le firewall
- Vérifiez les logs depuis l'interface d'administration du firewall dans le module Monitoring > Logs - Journaux d'audit > Utilisateurs.
- Assurez-vous qu'aucune règle de la politique d'authentification ne bloque les utilisateurs qui essayent de s'authentifier.
Tentez d'ajouter en premier (tout en haut) dans votre politique d'authentification une règle utilisant les éléments suivants :- Pour le champ Utilisateur : "Tous",
- Pour le champ Source : "Any",
- Pour le champ Méthodes d'authentification : la méthode "Agent SSO" concernée.
- Vérifiez grâce à la commande suivante que les messages envoyés par le serveur Syslog du SN SSO Agent au firewall transitent correctement par le port défini dans sa configuration.
tcpdump port 3514
- Assurez-vous que les informations du serveur Syslog soient correctement renseignées dans la méthode d'authentification "Agent SSO" configurée sur le firewall.
- Assurez-vous que les expressions régulières configurées dans votre firewall et utilisées par le serveur Syslog du SN SSO Agent permettent de récupérer les événements d'authentification nécessaires au bon fonctionnement du service. Aidez-vous d'un site vous permettant de vérifier vos expressions régulières (RegEx) si besoin.
Le serveur Syslog du SN SSO Agent ne récupère pas les événements de l'annuaire LDAP
- Assurez-vous que la configuration de votre annuaire LDAP soit correcte. Pour plus d'informations, reportez-vous à la section Configurer l'annuaire LDAP.
- Vérifiez que l'annuaire LDAP trace correctement les événements d'authentification. Dans notre exemple, nous utilisons la commande suivante pour le vérifier sur un serveur Samba 4. Le chemin d'accès peut avoir été modifié dans la configuration du serveur (fichier smb.conf).
tail -f /var/log/messages.log
- Vérifiez la configuration du client Syslog installé sur la même machine de votre annualre LDAP (fichier 00-samba.conf). Tentez de modifier sa configuration pour qu'il transmette tous les logs qu'importe le niveau de criticité et le système applicatif lié. Respectez le format suivant en conservant "*.*" :
*.* @ip:port