PAM: LDAP 更新中に NO_OBJECT エラーがセッションログに記録される
Article ID: 370905
Updated On:
Products
Issue/Introduction
Privileged Access Managre ( 以下、PAM) で アクティブディレクトリのドメインでユーザやデバイス グループを更新すると、以下のエラーがセッションログに記録され、毎回更新される。
PAM-LDAP-0004: An exception ( [LDAP: error code 32 - 0000208D: NameErr: DSID-0310028C, problem 2001 (NO_OBJECT), data 0, best match of: 'CN=...,OU=.....,DC=...,DC=...' ] ) occurred while processing LDAP group CN=...,OU=.....,DC=...,DC=.... LDAP sync for this group will be aborted.
Environment
Privileged Access Manager: サポートされる全バージョン
Cause
この事象は アクティブディレクトリからグループが削除されているにもかかわらず、 PAM上 ではグループが残っている場合に発生し、期待された正常な動作となります。
PAM は アクティブディレクトリ内のユーザやデバイスが突発的に消えた場合や、アクセスできなかった場合、または削除されている場合でも PAM 上の LDAP のユーザやデバイス グループを自動的に削除しません。
このため、上記のようなケースではNO_OBJECT エラーが発生する可能性があります。
Resolution
削除する必要があるグループがある場合、PAM コンソールのユーザ / デバイスグループから LDAP グループを手動で削除してください。
その後、アクティブディレクトリからグループを削除してください。
もし、ユーザやデバイスがそのグループにのみ所属している場合、グループに所属するユーザやデバイスは PAM 上から自動的に削除されます。
ユーザの場合はすべてのアクセスポリシーは削除され、デバイスの場合はデバイスに紐づけられているターゲットアプリケーション、ターゲットアカウント、アクセスポリシーなどはすべて削除されます。
これらを残したい場合は、残したいユーザやデバイスを含む別の LDAP グループを作成してインポートしておく必要があります。
Additional Information
なお、本KBは以下の英文 KB を翻訳し補足しました。
Article ID: 366818: PAM Session Logs Show NO_OBJECT Error During LDAP Refreshes
Feedback
