IRIS 登录问题排查指南｜VS Code + /api/atelier 登录失败解决方案

意外情况 – /api/atelier 登录失败

我们最近将系统从使用专用 Web 服务器切换为 Apache/Web 网关设置，同时启用了 IRIS 中内置的 LDAP 功能。从那时起，我们发现有一名用户在大量使用 VS Code（通过 /[api](https://www.explinks.com/wiki/api/)/atelier 接口）时，遇到了通过 VS Code 和 /api/atelier 扩展登录 IRIS 的问题。

当前问题描述

目前，我正在尝试解决以下两个主要问题：

1. 用户在使用正确密码时仍然无法登录。
2. 系统返回以下错误信息：
   • 错误 #798：LDAP 登录失败。
   • 错误 #815：用户未获得服务 %Service_WebGateway 的授权。

在调查登录失败的原因时，我注意到，当该用户尝试登录但失败后，系统会记录一条警告信息，提示 UnknownUser 试图访问 %Service_WebGateway。

可能的原因分析

根据现有信息，问题可能与以下因素有关：

1. 系统间服务器配置缺失

   某些系统间的服务器配置可能未正确设置，导致 LDAP 身份验证失败或用户身份无法正确映射。

2. 服务授权问题

   用户未被授权访问 %Service_WebGateway 服务，这可能是由于用户角色或权限配置不当引起的。

3. 未知用户访问风险

   系统记录的 UnknownUser 警告表明，可能存在配置问题，导致未正确识别用户身份。这种情况下，直接开放 %Service_WebGateway 服务可能会引发安全风险。

下一步解决方案

为了解决上述问题，可以尝试以下步骤：

1. 检查 LDAP 配置

   • 确保 LDAP 配置正确无误，特别是用户身份映射和密码验证部分。
   • 验证 LDAP 服务器是否正常运行，并检查是否存在网络连接问题。

2. 验证服务授权

   • 检查用户是否被正确分配了访问 %Service_WebGateway 的权限。
   • 如果未分配权限，可以通过 IRIS 管理门户为用户添加相应的角色或权限。

3. 排查系统间配置问题

   • 检查系统间服务器的相关配置，确保所有必要的设置已正确完成。
   • 验证是否存在其他可能影响身份验证的配置问题。

4. 避免未知用户访问

   • 不建议直接开放 %Service_WebGateway 服务给未知用户，以免引发安全隐患。
   • 可以通过日志分析进一步排查 UnknownUser 的来源，并采取相应的安全措施。

总结

上述问题可能是由于 LDAP 配置不当或服务授权不足引起的。在解决问题时，应重点关注 LDAP 身份验证的配置和用户权限的分配，同时避免直接开放关键服务给未知用户。通过逐步排查和调整配置，相信可以有效解决当前的登录失败问题。

原文链接: https://community.intersystems.com/post/unexpected-apiatelier-login-failure