Security

LDAP timeoutについて

Contributor

LDAP認証を使用したサーチヘッドに、いきなり全てのユーザがログインできなくなりました。
また、LDAP認証をUIから設定し直そうとしたところ、設定内容を保存できず、以下のTimeoutエラーが画面上に表示され続けてました。

Encountered the following error while trying to save: Failed to retrieve a user with these settings. Consult your LDAP admin or see splunkd.log with ScopedLDAPConnection set to DEBUG for more information.

問題が発生した前後には、Splunkの環境に対し、特に変更は行なっていませんでした。
このTimeout問題を解決する方法はありますでしょうか。

0 Karma
1 Solution

Contributor

まず、「openssl s_client」でサーチヘッドとLDAPサーバ間の通信に問題はないかを確認してください。
例:

./splunk cmd openssl s_client -tls1_2 -connect <LDAPサーバ>:636 

そして、Splunk以外のツール(例:ldapsearchなど)を使用し、timeoutせずにLDAPサーバに問い合わせできることを確認してください。
Splunkからの問い合わせだけがtimeoutをすることを確認できましたら、authentication.conf内の「anonymous_referrals」をデフォルトの「1」から「0」に変更してみてください。

anonymous_referrals = <bool>
* OPTIONAL
* Set this to 0 to turn off referral chasing
* Set this to 1 to turn on anonymous referral chasing
* IMPORTANT: We only chase referrals using anonymous bind. We do NOT support
  rebinding using credentials.
* If you do not need referral support, we recommend setting this to 0
* If you wish to make referrals work, set this to 1 and ensure your server
  allows anonymous searching
* Defaults to 1

もし、「anonymous_referrals」を「0」に変更したことにより、Timeoutの事象が改善された場合、LDAPサーバ側でリフェラル機能に対し、何らかの変更が加えられた可能性が高いです。

View solution in original post

Contributor

まず、「openssl s_client」でサーチヘッドとLDAPサーバ間の通信に問題はないかを確認してください。
例:

./splunk cmd openssl s_client -tls1_2 -connect <LDAPサーバ>:636 

そして、Splunk以外のツール(例:ldapsearchなど)を使用し、timeoutせずにLDAPサーバに問い合わせできることを確認してください。
Splunkからの問い合わせだけがtimeoutをすることを確認できましたら、authentication.conf内の「anonymous_referrals」をデフォルトの「1」から「0」に変更してみてください。

anonymous_referrals = <bool>
* OPTIONAL
* Set this to 0 to turn off referral chasing
* Set this to 1 to turn on anonymous referral chasing
* IMPORTANT: We only chase referrals using anonymous bind. We do NOT support
  rebinding using credentials.
* If you do not need referral support, we recommend setting this to 0
* If you wish to make referrals work, set this to 1 and ensure your server
  allows anonymous searching
* Defaults to 1

もし、「anonymous_referrals」を「0」に変更したことにより、Timeoutの事象が改善された場合、LDAPサーバ側でリフェラル機能に対し、何らかの変更が加えられた可能性が高いです。

View solution in original post