安全 LDAP 服務:錯誤代碼說明

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Business Plus;Enterprise Standard 和 Enterprise Plus;Education Fundamentals、Education Standard 和 Education Plus;Enterprise Essentials Plus。版本比較

安全 LDAP 服務會在無法順利完成 LDAP 要求時傳回錯誤代碼。連接 LDAP 用戶端以及連線後進行任何後續 LDAP 查詢時,都可能發生這類錯誤。LDAP 用戶端是否向使用者顯示錯誤代碼 (以及錯誤代碼的呈現方式) 會因 LDAP 用戶端而異。本文說明的錯誤代碼也會列於稽核記錄中。

PROTOCOL_ERROR (2)

  • 要求指定不支援的 LDAP 版本時,系統會傳回這個錯誤代碼。安全 LDAP 服務支援的是 LDAP 第 3 版。
  • 要求指定不支援的動作時,系統會傳回這個錯誤代碼。Google 支援 AbandonBindExtended (針對 StartTLS)、SearchUnbind。不支援的動作則包括 AddCompareDelModifyModifyDn
  • 透過 Extended 要求指定不支援的「Oid」時,系統會傳回這個錯誤代碼。Google 僅支援 StartTLS (Oid 1.3.6.1.4.1.1466.20037) 的 Extended 動作 (透過先前不安全的連線)。

AUTH_METHOD_NOT_SUPPORTED (7)

  • 透過「Bind」要求指定不支援的驗證方法時,系統會傳回這個錯誤代碼。Google 支援 SIMPLE、SASL PLAIN 和 SASL EXTERNAL。

ADMIN_LIMIT_EXCEEDED (11)

  • 安全 LDAP 服務設有繫結和搜尋要求的配額。 如果任一要求超出配額,就會觸發這則錯誤訊息。
  • 每個客戶的繫結配額為每秒 4 次查詢 (QPS),由客戶擁有的所有網域共用。
  • 如果您看到 ADMIN_LIMIT_EXCEEDED 錯誤,請判斷哪個作業 (搜尋或繫結) 超出配額,然後嘗試減少該作業的頻率。舉例來說,使用 RADIUS 的 Wi-Fi 驗證可能會產生大量繫結作業,導致超過配額。

CONFIDENTIALITY_REQUIRED (13)

  • 透過不安全連線發出 SASL Bind 要求時,系統會傳回這個錯誤代碼
  • 透過不安全連線發出 Search 要求來查詢伺服器屬性以外的任何內容時,系統會傳回這個錯誤代碼

NO_SUCH_OBJECT (32)

  • 搜尋不存在的內容 (例如不明的使用者、群組或機構單位) 時,系統會傳回這個錯誤代碼
  • 搜尋目錄中不存在的使用者 ID 時,系統會傳回這個錯誤代碼

INVALID_DN_SYNTAX (34)

  • 當辨別名稱格式有誤,導致 JNDI 無法剖析時,系統會傳回這個錯誤代碼。請參閱 javax.naming.ldap.LdapName
  • 辨別名稱的屬性中含有並非「字串」的值時,系統會傳回這個錯誤代碼。系統僅支援「字串」值。請參閱 javax.naming.directory.Attribute

INAPPROPRIATE_AUTHENTICATION (48)

  • 透過 Bind 要求指定格式錯誤、已過期或有其他錯誤的用戶端憑證時,系統會傳回這個錯誤代碼
  • 透過 SASL PLAIN Bind 要求指定格式錯誤的憑證,或未指定憑證時,系統會傳回這個錯誤代碼

INSUFFICIENT_ACCESS_RIGHTS (50)

  • 關閉 LDAP 用戶端的安全 LDAP 服務時,系統會傳回這個錯誤代碼
  • 客戶未獲得安全 LDAP 服務的使用授權時,系統會傳回這個錯誤代碼
  • 透過 Bind 要求指定的使用者未獲得使用安全 LDAP 的授權時,系統會傳回這個錯誤代碼
  • 透過 Bind 要求指定的使用者遭到停用時,系統會傳回這個錯誤代碼
  • 透過後續 Bind 要求 (重新繫結) 指定的使用者不屬於已在安全 LDAP 設定中啟用驗證作業的機構單位時,系統會傳回這個錯誤代碼
  • 發出 SIMPLE Bind 要求但沒有指定憑證 (未驗證) 時,系統會傳回這個錯誤代碼

UNWILLING_TO_PERFORM (53)

  • 發出 SIMPLE Bind 要求但沒有指定憑證 (未驗證) 時,系統會傳回這個錯誤代碼

OTHER (80)

CANCELED (118)

  • 透過 Abandon 要求取消目前的 LDAP 操作時,系統會傳回這個錯誤代碼