HELP FILE

Resolución de problemas de los servicios federados de Active Directory (AD FS)

Si está experimentando algún problema tras configurar el entorno de LastPass Enterprise para usar Active Directory Federation Services (AD FS), puede realizar las siguientes operaciones para comprobar los ajustes de configuración y llevar a cabo acciones básicas de resolución de problemas. Asegúrese de realizar estas comprobaciones en orden.

Paso n.º 1: Comprobación de actualizaciones de Windows y versiones de componentes de LastPass

Compruebe si hay actualizaciones e instale las versiones más recientes de estos componentes:

  • Actualizaciones de Windows Server (incluida la versión más reciente de .NET Framework).
  • Debe ejecutarse la versión 1.2.652 o superior de LastPass AD Connector. Actualícelo ahora o abra LastPass AD Connector y, a continuación, diríjase a Inicio > Comprobar actualizaciones.
  • Debe ejecutarse la versión más reciente disponible de la extensión para navegadores web de LastPass. Actualícela ahora.

Paso n.º 2: Comprobación de la configuración del cortafuegos

El almacén de atributos personalizados debe poder comunicarse con las API de LastPass, lo que quiere decir que el servidor de AD FS debe ser capaz de comunicarse con *.lastpass.com.

  • Abra un navegador web del servidor de AD FS y diríjase a https://lastpass.com. Si no es accesible, incluya en la lista aprobada de dominios del cortafuegos el dominio *.lastpass.com.

Nota: Si su entorno es una granja de servidores de AD FS con nodos primarios y secundarios, asegúrese de que el dominio *.lastpass.com se incluya en la lista aprobada de dominios de todos los equipos.

Paso n.º 3: Comprobación de los permisos de los usuarios de Active Directory

Hay dos usuarios del entorno de Active Directory que deben tener acceso de lectura y escritura al atributo personalizado:

  • El usuario de Active Directory que ejecuta LastPass AD Connector (y carga el atributo personalizado en el momento del aprovisionamiento).
  • El usuario de Active Directory que ejecuta el servicio de AD FS (AD FS se conecta al almacén de atributos personalizados, que lee el atributo personalizado al iniciar sesión).

Ambos usuarios deben tener el permiso CONTROL ACCESS para acceder al atributo personalizado marcado como CONFIDENTIAL. Si los usuarios no tienen este permiso, debe establecerlo. Realice alguna de estas acciones para comprobar los permisos de sus usuarios:

Uso de la herramienta LDP

Los sistemas operativos de Windows Server cuentan con una herramienta integrada que le permite comprobar los permisos de sus usuarios de Active Directory en función de su pertenencia a grupos.

  • Ejecute ldp.exe en el servidor de Active Directory y confirme que el grupo asignado del usuario de Active Directory tiene el permiso CONTROL ACCESS activado.

Uso del comando dsacls

Puede ejecutar el comando "distinguishedName del atributo personalizado" para comprobar los permisos de los usuarios de Active Directory:

  1. Ejecute el símbolo del sistema como administrador en el servidor de Active Directory.
  2. Introduzca el siguiente comando: dsacls.
  3. Confirme que está asignado el permiso CONTROL ACCESS.

Paso n.º 4: Comprobación de que el complemento de AD FS está instalado y registrado con el valor de atributo personalizado adecuado

Si el complemento de AD FS se instaló correctamente, encontrará LastPassAttributeStore en la lista.

  1. Abra la herramienta de administración de servidores de AD FS de su servidor de AD FS.
  2. Diríjase a AD FSServicioAlmacenes de atributos.
  3. Compruebe si LastPassAttributeStore está en la lista.

ADVERTENCIA Si no encuentra el almacén de atributos, significa que se ha producido un error en la instalación. Reinstale el complemento de AD FS y confirme que la versión y el valor del nombre del atributo personalizado son correctos.

  1. Desinstale LastPassAttributeStore.msi.
  2. Inicie sesión y acceda a la Consola de administración en https://lastpass.com/company/#!/dashboard.
  3. Diríjase a ConfiguraciónInicio de sesión federado en el menú de la izquierda.
  4. Confirme que el nombre del valor del atributo personalizado es correcto.
  5. En la sección "Almacén de atributos personalizados de LastPass" que se encuentra al final de la página, haga clic en Descargar para servidor de AD FS 3.0 (para Windows Server 2012 R2) o Descargar para servidor de AD FS 4.0 (para Windows Server 2016) y guarde el archivo CustomAttributeStore.msi de LastPass.
  6. Inicie sesión en su servidor principal de Active Directory Federation Services (AD FS), mueva el archivo CustomAttributeStore.msi al escritorio del servidor de AD FS y haga doble clic en dicho archivo para ejecutarlo.
  7. Haga clic en Siguiente.
  8. Escriba la dirección URL del proveedor de servicios de LastPass Enterprise, introduzca el valor del atributo personalizado y haga clic en Siguiente.
  9. Haga clic en Finalizar cuando finalice el proceso de registro.
  10. Reinicie el servicio de Windows AD FS. Esta acción es obligatoria.

Paso n.º 5: Comprobación de la configuración del atributo personalizado

Puede usar la herramienta Editor ADSI para comprobar las propiedades de su atributo personalizado y confirmar que se ha configurado adecuadamente.

  1. Ejecute el símbolo del sistema como administrador en el servidor de Active Directory.
  2. Introduzca el siguiente comando: adsiedit.msc. Nota: Si la herramienta Editor ADSI no está disponible, puede registrarlo abriendo el símbolo del sistema como administrador y ejecutando los siguientes comandos: regsvr32 adsiedit.dll y, a continuación, adsiedit.msc.
  3. Conéctese al "contexto de nomenclatura conocido": Esquema.
  4. Localice el atributo personalizado y abra Propiedades.
  5. Localice los siguientes atributos para comprobar que sus valores coinciden con los siguientes (tal y como se muestra a continuación):
    • attributeSyntax: 2.5.5.4 = ( NOCASE_STRING )
    • searchFlags: 0X80 = ( CONFIDENTIAL )

Configurado correctamente

ADVERTENCIA Si el atributo searchFlags no está configurado como CONFIDENTIAL (por ejemplo, aparece como INDEX), debe configurarlo como CONFIDENTIAL.

Configurado incorrectamente

Paso n.º 6: Comprobación de que se ha cargado el atributo personalizado

Confirme que LastPass AD Connector ha cargado el atributo personalizado correctamente.

  1. Inicie sesión en su servidor de Active Directory.
  2. Abra la herramienta de gestión Usuarios y equipos de Active Directory.
  3. Diríjase a Ver y asegúrese de que la opción Características avanzadas esté activada, o bien haga clic en la opción del menú Características avanzadas para activarla.
  4. Diríjase a Usuarios en el menú de la izquierda.
  5. Haga clic con el botón derecho en un usuario y, a continuación, haga clic en Propiedades.
  6. Haga clic en la pestaña Editor de atributos.
  7. Localice el atributo personalizado que ha creado (por ejemplo, LastPassK1) y confirme que se ha establecido un valor (tal y como se muestra a continuación).

Configurado correctamente

Editor de atributos con atributo personalizado

ADVERTENCIA Si el valor del atributo personalizado es <not set> (tal y como se muestra a continuación), debe realizar las siguientes comprobaciones:

Configurado incorrectamente

Paso n.º 7: Comprobación de la configuración de la granja de servidores de AD FS (si procede)

Confirme que los DLL están presentes en los nodos secundarios y sucesivos de la siguiente manera:

  1. En el servidor de AD FS, diríjase a C:\Windows\ADFS, donde instaló el archivo CustomAttributeStore.msi de LastPass.
  2. Copie los siguientes archivos en la carpeta C:\Windows\ADFS de todos los servidores secundarios y sucesivos de AD FS:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Reinicie el servicio de Windows AD FS en los nodos secundarios y sucesivos de AD FS.

Problemas conocidos y resolución de problemas adicionales

Si ha confirmado que LastPass Enterprise y AD FS están configurados correctamente, puede realizar acciones adicionales de resolución de problemas en función del problema que experimente.

Pantalla en negro después de iniciar sesión como usuario federado

Posibles causas y soluciones:

El atributo personalizado está vacío

Posibles causas y soluciones:

No se activó el inicio de sesión federado en la Consola de administración de LastPass cuando se realizó el aprovisionamiento a través de LastPass AD Connector.

 

  1. Interrumpa el servicio de LastPass AD Connector.
  2. Inicie sesión y acceda a la Consola de administración en https://lastpass.com/company/#!/dashboard.
  3. Diríjase a Usuarios en el menú de la izquierda y elimine todos los usuarios que se han aprovisionado como usuarios federados.
  4. Diríjase a ConfiguraciónInicio de sesión federado en el menú de navegación de la izquierda.
  5. Marque la casilla de la opción "Activado".
  6. Reinicie el servicio de LastPass AD Connector para aprovisionar usuarios federados.

No se reinició LastPass AD Connector después de activar el inicio de sesión federado en la Consola de administración de LastPass. Reinicie el servicio de LastPass AD Connector para aprovisionar usuarios federados.

No coincide el nombre del atributo personalizado en la Consola de administración de LastPass y el complemento de AD FS. Descubra cómo solucionarlo.

Error del registro de eventos de Windows: Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: El almacén de atributos "LastPassAttributeStore" no está configurado.

Cómo solucionarlo:

Error del registro de eventos de Windows: Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: La relación de confianza para usuario autenticado "https://accounts.lastpass.com/" no se ha especificado o no es compatible. Si se ha especificado una relación de confianza para usuario autenticado, es posible que no tenga permiso para acceder a ella. Póngase en contacto con el administrador para obtener más información.

Cómo solucionarlo:

Error del registro de eventos de Windows: Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: La autorización de quien realiza la llamada no pudo concederse para la identidad de llamador DOMAIN\USERNAME de la relación de confianza para usuario autenticado "https://accounts.lastpass.com/".

Cómo solucionarlo:

  • Compruebe la relación de confianza para usuario autenticado y las reglas de autorización de emisión del usuario (Windows Server 2012) o la política de control de acceso (Windows Server 2016) del servidor de AD FS.
    1. Inicie sesión en su servidor principal de Active Directory Federation Services (AD FS).
    2. Diríjase a la configuración de administración de AD FS.
    3. Diríjase a Relaciones de confianza > Relación de confianza para usuario autenticado en el menú de navegación de la izquierda y, a continuación, realice las siguientes acciones según la versión del servidor de AD FS que tenga:
      • AD FS Server 3.0: Windows Server 2012 R2
        1. En la sección "Confianza de LastPass" del menú de navegación de la derecha, haga clic en Editar reglas de notificación....
        2. Seleccione la pestaña Reglas de autorización de emisión y establezca la regla que desee.
      • AD FS Server 4.0: Windows Server 2016
        1. En la sección "Confianza de LastPass" del menú de navegación de la derecha, haga clic en Editar política de control de acceso....
        2. Aplique la política deseada.

"Póngase en contacto con el administrador de su empresa para obtener ayuda" después de iniciar sesión como usuario federado.

Cómo solucionarlo: