ユーザー管理のよくあるエラー

プラットフォームについて: Server および Data Center のみ。この記事は、Server および Data Center プラットフォームのアトラシアン製品にのみ適用されます。

Support for Server* products ended on February 15th 2024. If you are running a Server product, you can visit the Atlassian Server end of support announcement to review your migration options.

*Fisheye および Crucible は除く

次の表は、LDAP をアトラシアン製品に連携するときのもっともよくある LDAP エラーの一覧です。すべての LDAP エラー コードを網羅した、製品固有ではない一覧については LDAP プロトコルの仕様をご確認ください。製品固有の情報については製品のドキュメントをご確認ください。

多くのメッセージで参照されている バインド アカウントとは、アトラシアン製品が LDAP ディレクトリへのアクセスに使用するユーザー名とパスワードです。

LDAP エラー

説明

推奨されるソリューション
1これは内部エラーで、LDAP サーバーがより具体的なエラーで応答することができません。これは通常は、LDAP サーバーが生成したリクエストではなく、LDAP サーバーのエラーを示します。

LDAP サーバーのログと構成にエラーがないことを確認します。ユーザーがアトラシアン アプリケーションにログインしようとすると、サーバーは次のことを行います。 

  1. ユーザー ディレクトリ構成にある管理アカウントの資格情報を使い、管理対象ユーザーの DN を検索します。
  2. ステップ 1 の DN を使って LDAP にバインドします。
  3. 認証を試行しているユーザーを検索します。
  4. 提供されたパスワードを使い、対象のユーザーとしてのバインドを試みます。
  5. バインドに成功した場合、対象のユーザーの詳細情報がターゲット ディレクトリと同期されます。

この例では、ステップ 1 に失敗しています。これは通常は、ユーザーのパスワードのリセットが必要、管理者がログイン不可能、または管理者が LDAP エンジンの公式の管理者ではないことに起因します。

考えられるソリューション/確認事項は次のとおりです。

  1. アトラシアン アプリケーションへのログインに利用しているユーザーのパスワードで、次回のログイン時にリセットが要求されないことを確認します。
  2. 同じ LDAP エンジンに接続されている別のシステムで、対象のユーザーとしてログインできるかどうかを確認します。
  3. LDAP サーバーへのバインドを行うように構成されているユーザーが LDAP エンジンの実際の管理者である (Active Directory で組み込みの Administrator グループのメンバーである) ことを確認します。ユーザーが Administrator ではない場合、ご利用のアトラシアン アプリケーションで使用されるすべてのディレクトリ レベルでユーザーが読み取り専用アクセスのみを持っていることを確認します。
  4. 1 つまたは複数のグループが 2 つの空白で開始されている。このようなグループがあるかどうかを確認するには、対象のディレクトリで次のクエリを実行します。

    select id, group_name from cwd_group where directory_id = '1234567' and group_name like '% %';
    • 上記の診断クエリを実行して、空白から開始される名前を持つグループを確認します
    • Active Directory で問題のグループ名の先頭の空白を削除して名前を変更します

    • 同期を再起動します
3ある処理の時間制限 (クライアントまたはサーバーが設定) が超過しました。処理が検索である場合、結果は不完全なものになります。

タイムアウトへの到達は通常は次のようなことを示します。

4サイズ制限 (クライアントまたはサーバーが設定) が超過しました。返される結果は不完全なものになります。

制限への到達は通常は次のようなことを示します。

8Active Directory サーバーに、すべての LDAP 認証を SSL で保護するように強制する、非デフォルトのドメイン ポリシーが設定されています。 
10

処理を完了するには、クライアントがリファラルに続く必要があります。

  1. 多くの場合、このエラーと一緒に LimitExceededException - リファラルの数が多すぎ、通常はそれらが存在しない DNS アドレスを指しているエラーが発生します。ベース DN に正しい値が入力されていて、入力ミスがないことを確認します。
  2. ユーザーに、到達可能な適切なグループを指す、適切な MemberOf 属性が設定されていることを確認します。これをテストするには、メンバーシップ スキーマの属性設定で MemberOf 設定のチェックボックスを選択解除し、メンバーシップの定義方法を変更します。これにより、ユーザーの "MemberOf" 属性ではなくグループの "Member" 属性を検索することによる、メンバーシップの一覧作成が行われます。
12

Sun Directory Server では Page Results はサポートされず、それによって次のようなエラーが生成されます。

org.springframework.ldap.OperationNotSupportedException: [LDAP: error code 12 - Unavailable Critical Extension]
 Do not use Paged Results in Sun Directory Server. Note that without paged results, you may encounter LDAP error code 4. More discussion has taken place on CONF-22083 - Getting issue details... STATUS .
17ユーザー ディレクトリのグループ スキーマ設定 (User Object クラス、User Last Name 属性など) またはユーザー スキーマ設定 (Group Name 属性、Group Name クラスなど) セクションの構成設定で指定されたいずれかの属性が、LDAP サーバーのスキーマに存在しません。ご利用の構成で参照されている属性が意図したもので、ユーザーまたはグループに対して適切であることを確認します。
32この問題にはさまざまな原因が考えられます。エラー メッセージのデータ コードをご確認ください。
javax.naming.NameNotFoundException: [LDAP: error code 32 - 0000208D: NameErr: DSID-0310020A, 
problem 2001 (NO_OBJECT), data 0, best match of: 'ou=fake, ou=users, o=sevenSeas']; 
remaining name 'ou=users, o=sevenSeas'

上記の例のデータ コードは 0 であり、定義された DN が存在しないことを意味します。

34DN のシンタックスに誤りがあります。

DN に正しい値が入力されていて、入力ミスがないことを確認します。また、オブジェクトの属性 (名前や説明など) に無効な文字が含まれている可能性もあります。エラー メッセージで、問題の原因となった属性をご確認ください。

49バインド処理に失敗しました。これは多くの場合、アカウントの問題によります。

LDAP サーバーに接続するために使用されているバインド アカウントの資格情報が正しいことを確認します。Active Directory をご利用の場合、Active Directory の Error 49 についての以降の表をご確認ください。

これは、ユーザー ディレクトリ構成のユーザー名のフィールドで FQDN を使用していないことによっても発生します。ユーザー名を "user@domain.name" に変更することをお試しください。

50クライアント (Jira、Confluence など) で構成されている LDAP ユーザーに、リクエストされた処理を実行するのに十分な権限がありません。このエラーは、LDAP 側での権限構成の問題です。バインド アカウントに、リクエストされた処理を実行するのに適切な権限があることを確認します。可能な場合は、上位の権限を持つアカウントを一時的に使って問題を分離させます。
53サーバーが定義した制限により、LDAP サーバーでリクエストを処理できません。このエラーは次のような理由で返されます。
  • エントリの追加リクエストが LDAP サーバーの構造ルールに違反する
  • 属性の変更リクエストが、ユーザーが変更できない属性を指定している
  • パスワード制限によってアクションが拒否される
  • 接続制限によってアクションが拒否される

このエラーは一般に、読み取り専用のディレクトリに変更を行おうとして発生します。ディレクトリが読み取り専用である理由にはさまざまなものが考えられます。

  • ディレクトリが読み取り専用のディレクトリとして構成されている
  • バインド アカウントに、サーバーで変更を行うための権限がない
  • サーバーで追加の制限が強制されている。たとえば、Active Directory で変更を行うにはセキュアな接続が要求される場合があります

Active Directory Error 49

Error 49 が発生した場合、エラー メッセージの Data 属性で固有のエラー メッセージをご確認ください。Active Directory でユーザー アカウント設定を構成する方法の詳細についてはこの TechNet 記事が詳しいです。

コー​​ド説明 ソリューション
Data 525

ユーザーが見つかりません

バインド アカウントに適切なユーザー名が指定されていることを確認します。
Data 52e

資格情報 (ユーザー名とパスワード) が無効です

資格情報が適切で、適切なサーバーが利用されていることを確認します。

詳細については、ナレッジベース記事「ユーザーが Confluence にログインできない (LDAP: エラー コード 49、data 52e)」をご確認ください。

Data 530

このタイミングでユーザーのログインが許可されていません

Active Directory で、ユーザーの [Account] タブから Logon Hours を削除します。
Data 531

ユーザーがこのワークステーションにログインすることが許可されていません

Active Directory で、ユーザーの [Account] タブから、アプリケーション サーバーを許可されたログオン ワークステーションとして許可します。 
Data 532

ユーザーのパスワードが失効しています

ユーザーのパスワードをリセットします。必要に応じ、アプリケーションを新しいパスワードで更新します。
Data 533

ユーザーのアカウントが無効化されています

Active Directory でユーザーのアカウントを有効化します。

Data 57

The user's account connect from JIRA to the Active Directory is having an authorization issue
  • The user is either removed or has its password changed from the AD side.
  • Test login with the user account to the AD server and able to view all the users' memberships attribute with the correct password.
  • Verify that the user account can navigate to the LDAP base DN and view all the user and group attributes.
  • Encryption file issue as the crypto file might be missing or lacking filesystem permissions and causing the transaction to be sending the wrong authorization data as per the encryption:

    202x-xx-xx 00:00:00,000-0000 JIRA-Bootstrap ERROR      [c.a.d.c.p.c.algorithm.serialization.SerializationFile] Couldn't read file needed for encryption/decryption. Tried to read file under: \atlassian\jira-data\keys\javax.crypto.spec.SecretKeySpec_xxx
    java.io.FileNotFoundException: \atlassian\jira-data\keys\javax.crypto.spec.SecretKeySpec_xxx (The system cannot find the file specified)
Data 701

ユーザーのアカウントが失効しています

Active Directory で、アカウントの失効オプションに [Never] が設定されていることを確認します。
Data 773

ユーザー アカウントでパスワードのリセットが必要です

ユーザーのパスワードをリセットします。必要に応じ、アプリケーションを新しいパスワードで更新します。
Data 775

このユーザーのアカウントはロックされています

Active Directory で、ユーザーの [Account] タブでユーザー アカウントのロックを解除します。

Secure LDAP (LDAPS) への接続中に PKIX Path Building Failed が発生

このエラーは、セキュアな LDAP 接続を使っているが、LDAP サーバーが提示した証明書がご利用のアプリケーションで信頼されていない場合に発生します。これを解決するには、アプリケーションのトラスト ストアに証明書をインポートする必要があります。詳細については「SSL サービスに接続できない」ナレッジベース記事をご確認ください。製品固有のガイダンスについては「SSL サービスへの接続」ナレッジベース ドキュメントをご確認ください。


説明 以降は、LDAP をアトラシアン製品に連携するときのもっともよくある LDAP エラーの一覧です。すべての LDAP エラー コードを網羅した、製品固有ではない一覧については LDAP プロトコルの仕様をご確認ください。 製品固有の情報については製品のドキュメントをご確認ください。
製品Jira, Confluence, Bitbucket, Fisheye, Bamboo
プラットフォームServer、Data Center



最終更新日: 2022 年 10 月 3 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.