LDAP同步问题导致域帐户无法登陆

发布时间:  2012-07-18 浏览次数:  146 下载次数:  2
问题描述
某公司Secospace系统,客户端采用域帐户认证方式。前期运行良好,突然域帐户不能通过认证,报错为“账号不存在密码错误”。
告警信息
处理过程
1、服务开启问题,检查SM、ED等服务全部开启,正常;
2、设备联动问题,dis right-manager server-group 联动正常;
3、ad服务器问题,客户有四台ad服务器且有其他业务(需要ad服务器)正常,排除ad服务器问题;
4、测试发现,用普通的帐户在客户端登陆可以成功,可以判断Secospace系统本身不存在问题;通过了解发现客户前一天有重启过一台ad服务器。进一步测试发现部分的域帐户可以登录,部分不可以且不可以登陆的域帐户都集中在a、b、c三个部门。怀疑同步问题,直接‘配置LDAP同步’发现0条成功。
在a部门中新添加一个域帐户,重新关联LDAP的组织单元、添加DN值、同步(有9条成功),发现新的帐户可以登陆,这时a部门的其他域帐户也可以登陆。用重新关联LDAP的组织单元、添加DN值、同步的方法b、c部门问题解决。
根因
1、服务开启问题;
2、设备联动问题;
3、ad服务器问题;
4、ldap同步问题。
建议与总结
分析此故障与客户重启ad服务器无关,但是在操作ad服务器过程中存在误操作:日志(见附件)中显示存在帐户被删除的情况
2008-09-18 15:54:11,831 INFO  [com.huawei.secospace.server.manager.synch.impl.SynchronizeDstToSrc] successs to sychronize delete object: ssAccountRdn=admin_hanslaser_com,
ssPersonRdn=S121445429828652602,ssUuid=13,ssUuid=6,ssUuid=5,ssUuid=4,ssUuid=rootorg,ou=Organization
为了避免发生此问题,建议“开启LDAP自动数据同步”。

END