HELP FILE

Problemen met Active Directory Federation Services (AD FS) oplossen

Als u problemen ondervindt nadat u uw LastPass Enterprise-omgeving heeft geconfigureerd voor het gebruik van Active Directory Federation Services (AD FS), kunt u de stappen hieronder volgen om de configuratie-instellingen te controleren en elementaire problemen op te lossen. Zorg dat u deze controles in deze volgorde uitvoert.

Stap 1: Windows-updates en LastPass-onderdeelversies controleren

Controleer of er updates zijn en installeer de meest recente versies van:

  • Windows Server-updates (plus de meest recente versie van .Net Framework)
  • LastPass Active Directory Connector moet versie 1.2.652 of hoger uitvoeren – werk nu bij of open de LastPass AD-connector en ga naar Startpagina > Controleren op updates.
  • De LastPass-browserextensie moet de laatst beschikbare versie uitvoeren – werk nu bij

Stap 2: De instellingen van de firewall controleren

Het aangepast kenmerkarchief moet kunnen communiceren met API's van LastPass, wat inhoudt dat de AD FS-server of -servers *.lastpass.com moeten kunnen bereiken.

  • Open een browser op uw AD FS-server(s) en ga naar https://lastpass.com. Als u deze bestemming niet kunt bereiken, moet het domein *.lastpass.com aan de whitelist van uw firewall worden toegevoegd.

Opmerking: Als uw omgeving bestaat uit een AD FS-serverfarm met primaire en secundaire knooppunten, moet u nagaan of het domein *.lastpass.com op alle systemen in de whitelist is opgenomen.

Stap 3: De machtigingen van uw AD-gebruikers controleren

Er zijn twee gebruikers is uw Active Directory-omgeving die lees- en schrijftoegang moeten hebben voor het aangepaste kenmerk:

  • De AD-gebruiker die de LastPass AD-connector uitvoert (waarmee het aangepaste kenmerk wordt ingevuld op het moment van inrichting)
  • De AD-gebruiker die de AD FS-service uitvoert (AD FS roept het aangepaste kenmerkarchief aan, dat het aangepaste kenmerk uitleest op het moment van aanmelding)

Beide gebruikers moeten de machtiging "Toegang beheren" hebben om het aangepaste kenmerk dat als "Vertrouwelijk" is aangemerkt te benaderen. Als de gebruikers deze machtiging niet hebben, moet dit worden ingesteld. U kunt de machtigingen van de gebruikers op de volgende manieren controleren:

Met behulp van de LDP-tool

De Windows Server-besturingssystemen hebben een ingebouwd hulpprogramma waarmee u de machtigingen van uw AD-gebruikers kunt controleren op basis van hun groepslidmaatschap.

  • Voer op uw Active Directory-server ldp.exe uit en controleer of "Toegang beheren" is ingeschakeld voor de toegewezen groep van de AD-gebruiker.

De opdracht dsacls gebruiken

U kunt de opdracht distinguishedName voor het aangepaste kenmerk uitvoeren om de machtigingen van uw AD-gebruikers te controleren:

  1. Ga naar de Active Directory-server en voer de opdrachtprompt uit als beheerder.
  2. Voer de volgende opdracht in: dsacls
  3. Controleer of de machtiging "Toegang beheren" is toegewezen.

Stap 4: Controleren of de AD FS-invoegtoepassing is geïnstalleerd en geregistreerd met de juiste waarde voor het aangepaste kenmerk

Als de AD FS-invoegtoepassing correct is geïnstalleerd, vindt u de vermelding LastPassAttributeStore.

  1. Open het hulpprogramma voor serverbeheer op uw AD FS-server.
  2. Ga naar AD FSServiceKenmerkarchieven.
  3. Controleer of LastPassAttributeStore wordt vermeld.

WAARSCHUWING! Als u het kenmerkarchief niet kunt vinden, betekent dat dat de installatie mislukt is. Installeer de AD FS-invoegtoepassing opnieuw en controleer of de naam van de waarde van het aangepaste kenmerk en de versie beide correct zijn.

  1. Maak de installatie van LastPassAttributeStore.msi ongedaan.
  2. Meld u aan en open de Admin Console via https://lastpass.com/company/#!/dashboard.
  3. Ga in het menu links naar InstellingenFederatieve aanmelding.
  4. Controleer of de naam van het aangepaste kenmerk correct is.
  5. Klik in het gedeelte "LastPass-store voor aangepaste kenmerken" onder aan de pagina op Downloaden voor ADFS Server 3.0 (voor Windows Server 2012 R2) of Downloaden voor ADFS Server 4.0 (voor Windows Server 2016) en sla het LastPass-bestand CustomAttributeStore.msi op.
  6. Meld u aan bij uw primaire Active Directory Federation Services-server (AD FS) en kopieer het bestand CustomAttributeStore.msi naar het bureaublad van uw AD FS-server. Dubbelklik op het bestand om het uit te voeren.
  7. Klik op Volgende.
  8. Voer de URL van uw LastPass Enterprise-serviceprovider in, voer de waarde van uw aangepaste kenmerk in en klik op Volgende.
  9. Klik op Voltooien wanneer de registratie voltooid is.
  10. Start de Windows-service AD FS opnieuw. Deze handeling is vereist.

Stap 5: De configuratie van het aangepaste kenmerk controleren

U kunt het hulpprogramma ADSI bewerken gebruiken om de eigenschappen van uw aangepaste kenmerk te controleren om na te gaan of het op de juiste manier geconfigureerd is.

  1. Ga naar de Active Directory-server en voer de opdrachtprompt uit als beheerder.
  2. Voer de volgende opdracht in: adsiedit.msc Opmerking: Als het hulpprogramma ADSI bewerken niet beschikbaar is, kunt u het registreren door de opdrachtprompt te openen als beheerder en de volgende opdrachten uit te voeren: regsvr32 adsiedit.dll en vervolgens adsiedit.msc
  3. Maak verbinding met de "bekende naamgevingscontext": Schema.
  4. Zoek het aangepaste kenmerk en open Eigenschappen.
  5. Zoek de volgende kenmerken, waarvan de waarden moeten overeenkomen met de volgende waarden (zoals hieronder weergegeven):
    • attributeSyntax: 2.5.5.4 = ( NOCASE_STRING )
    • searchFlags: 0X80 = ( CONFIDENTIAL )

Correct geconfigureerd

WAARSCHUWING! Als het kenmerk searchFlags niet is geconfigureerd als CONFIDENTIAL (als deze bijvoorbeeld als INDEX wordt weergegeven), moet u deze configureren als CONFIDENTIAL.

Incorrect geconfigureerd

Stap 6: Controleren of het aangepaste kenmerk is ingevuld

Controleer of de LastPass AD-connector het aangepaste kenmerk correct heeft ingevuld.

  1. Meld u aan bij uw Active Directory-server.
  2. Open de beheertool Gebruikers en computers in Active Directory.
  3. Ga naar Weergeven en controleer of Geavanceerde functies is ingeschakeld, of klik op de menuoptie Geavanceerde functies om deze in te schakelen.
  4. Ga naar Gebruikers in het navigatiegedeelte links.
  5. Klik met de rechtermuisknop op een gebruiker en klik op Eigenschappen.
  6. Klik op het tabblad Kenmerkeditor.
  7. Zoek het aangepaste kenmerk dat u heeft gemaakt (bijv. LastPassK1) en controleer of er een waarde is ingesteld (zoals hieronder weergegeven).

Correct geconfigureerd

Kenmerkeditor met aangepast kenmerk weergegeven

WAARSCHUWING! Als bij de waarde van het aangepaste kenmerk <not set> (niet ingesteld) staat vermeld (zoals in het voorbeeld hieronder) moet u het volgende controleren:

Incorrect geconfigureerd

Stap 7: De configuratie van de AD FS-serverfarm controleren (indien van toepassing)

Controleer of de DLL's aanwezig zijn op de secundaire en daaropvolgende knooppunten. Dit doet u als volgt:

  1. Ga op de AD FS-server naar C:\Windows\ADFS, de locatie waar u het LastPass-bestand CustomAttributeStore.msi heeft geïnstalleerd.
  2. Kopieer de volgende bestanden naar de map C:\Windows\ADFS op alle secundaire en daaropvolgende AD FS-servers:
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Start de Windows-service AD FS op de secundaire en daaropvolgende AD FS-knooppunten.

Bekende problemen en aanvullende probleemoplossing

Als u heeft gecontroleerd dat de LastPass Enterprise- en AD FS-configuraties correct zijn ingesteld, zijn er vervolgstappen die u kunt nemen om problemen op te lossen op basis van het specifieke probleem waarmee u te maken heeft.

Leeg scherm na aanmelding als federatieve gebruiker

Mogelijke oorzaken en manieren om deze te verhelpen:

Het aangepaste kenmerk is leeg

Mogelijke oorzaken en manieren om deze te verhelpen:

Federatief aanmelden was niet ingeschakeld in de LastPass Admin Console op het moment dat de inrichting via de LastPass AD-connector plaatsvond.

 

  1. Stop de service LastPass AD Connector.
  2. Meld u aan en open de Admin Console via https://lastpass.com/company/#!/dashboard.
  3. Ga naar Gebruikers in het navigatiegedeelte links en verwijder alle gebruikers die als federatieve gebruikers zijn ingericht.
  4. Ga naar InstellingenFederatieve aanmelding in het navigatiegedeelte aan de linkerkant.
  5. Schakel het selectievakje in bij de optie "Inschakelen".
  6. Start de service LastPass AD Connector opnieuw om federatieve gebruikers in te richten.

De LastPass AD-connector is niet opnieuw gestart nadat federatief aanmelden is ingeschakeld in de LastPass Admin Console. Start de service LastPass AD Connector opnieuw om federatieve gebruikers in te richten.

De namen van het aangepaste kenmerk in de LastPass Admin Console en in de AD FS-invoegtoepassing komen niet overeen – lees hoe u dit kunt corrigeren.

Fout Windows-gebeurtenislogboek: Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Het kenmerkarchief 'LastPassAttributeStore' is niet geconfigureerd.

U corrigeert dit als volgt:

Fout Windows-gebeurtenislogboek: Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: De aangevraagde vertrouwensrelatie van de relying party 'https://accounts.lastpass.com/' is niet gespecificeerd of wordt niet ondersteund. Als er een vertrouwensrelatie van de relying party is opgegeven, heeft u mogelijk geen toegangsrechten voor de vertrouwensrelatie. Neem contact op met de beheerder voor details.

U corrigeert dit als volgt:

Fout Windows-gebeurtenislogboek: Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: De autorisatie van de aanroeper is mislukt voor aanroeper-id DOMAIN\USERNAME voor de vertrouwensrelatie 'https://accounts.lastpass.com/' van de relying party.

U corrigeert dit als volgt:

  • Controleer de vertrouwensrelatie van de relying party en de uitgifteautorisatieregels (Windows Server 2012) of het toegangsbeheerbeleid (Windows Server 2016) op de AD FS-server.
    1. Meld u aan bij uw primaire Active Directory Federation Services-server (AD FS).
    2. Ga naar de AD FS-beheerinstellingen.
    3. Ga in het navigatiegedeelte links naar Vertrouwensrelaties > Vertrouwensrelatie van de relying party en volg de onderstaande instructies, afhankelijk van de versie van uw AD FS-server:
      • AD FS Server 3.0 – Windows Server 2012 R2
        1. Klik in het gedeelte "LastPass Trust" in het navigatiegedeelte rechts op Claimregels bewerken....
        2. Selecteer het tabblad Autorisatieregels voor uitgifte en stel de gewenste regel in.
      • AD FS Server 4.0 – Windows Server 2016
        1. Klik in het gedeelte "LastPass Trust" in het navigatiegedeelte rechts op Toegangsbeheerbeleid bewerken....
        2. Stel het gewenste beleid in.

"Neem contact op met de bedrijfsbeheerder voor hulp" na aanmelding als federatieve gebruiker

U corrigeert dit als volgt: