Anmeldefehler: Es gibt ein Problem mit Ihrem Konto. Bitte wenden Sie sich an den Administrator der Website.

Unterstützung SSO
1

Login-Fehler: Es liegt ein Problem mit Ihrem Konto vor. Bitte kontaktieren Sie den Administrator der Website.

Ich stoße auf einen Login-Fehler, der nur von zwei Benutzern gemeldet wird und zeitweise auftritt. Ich und viele andere Benutzer können sich problemlos anmelden. Laut den Protokollen des Discourse CAS SSO-Dienstes wird der Benutzer ohne protokollierte Probleme an das Forum übergeben. Ist Ihnen dieser Fehler bekannt? Wo kann ich weitere Protokolle finden, um diesen Fehler zu lokalisieren?

Die Benutzernamen sind identisch, außer dass bei einem Konto die Groß-/Kleinschreibung der Buchstaben abweicht. Der Benutzername des anderen Benutzers ist exakt gleich. Die E-Mail-Adressen auf unserem CAS-Server stimmen mit denen im Forum überein. Wir verwenden die neueste Version von Discourse, wie sie vor einigen Tagen verfügbar war. Wir führen keine Patches im Anwendungscode aus.

Dies mag zufällig sein, aber das Problem verschwand bei einem unserer Benutzer vorübergehend nach einem Neustart des CAS SSO-Dienstes, doch jetzt können sie sich nicht mehr im Forum anmelden. (Zu diesem Zeitpunkt meldete nur ein Benutzer dieses Problem.) Ich hoffe, eine dauerhafte Lösung für das Problem zu finden.

Ich habe einem der Benutzer vorgeschlagen, nur den Domänennamen des Forums ohne Pfad in ihren Browser einzugeben, aber sie haben keinen Erfolg damit gemeldet. Laut den Protokollen kommt mindestens ein Benutzer durch den initialen Login-Prozess, sodass ich bezweifle, dass das Problem durch die Eingabe einer falschen URL im Browser oder die Verwendung eines fehlerhaften Lesezeichens verursacht wird.

Hier ist ein Screenshot des Fehlers:

login-error
login-error1910×372 26.5 KB

Ich habe die SSO-Provider-Protokolle, die mit dem fehlgeschlagenen Login verknüpft sind, gefunden, indem ich einen Parameter in ihrem Screenshot abgeglichen habe. Ich habe diese mit einem erfolgreichen Login von mir verglichen, und die einzigen Änderungen betrafen die Parameter sso und sig, die CAS-Ticket-Nummer, Zeitstempel, die IP-Adresse usw. Beide Protokolle waren sehr ähnlich, was darauf hindeutet, dass die frühen SSO-Validierungsschritte ordnungsgemäß funktionieren. Ich füge eine bearbeitete Version des SSO-Provider-Login-Protokolls ein, das mit dem fehlgeschlagenen Login verknüpft ist:

I, [2019-02-05T05:31:33.683842 #18023]  INFO -- : Started GET "/?sso=...&sig=..." for ... at 2019-02-05 05:31:33 -0500
I, [2019-02-05T05:31:33.685726 #18023]  INFO -- : Processing by LoginController#login as HTML
I, [2019-02-05T05:31:33.685829 #18023]  INFO -- :   Parameters: {"sso"=>"...", "sig"=>"..."}
I, [2019-02-05T05:31:33.687034 #18023]  INFO -- : Redirected to https://forum.members.fsf.org/auth/cas
I, [2019-02-05T05:31:33.687299 #18023]  INFO -- : Completed 302 Found in 1ms (ActiveRecord: 0.0ms)
I, [2019-02-05T05:31:33.812099 #18023]  INFO -- : Started GET "/auth/cas" for ... at 2019-02-05 05:31:33 -0500
I, [2019-02-05T05:31:49.217709 #18023]  INFO -- : Started GET "/auth/cas/callback?url&ticket=ST-..." for ... at 2019-02-05 05:31:49 -0500
I, [2019-02-05T05:31:49.256905 #18023]  INFO -- : Processing by LoginController#create as HTML
I, [2019-02-05T05:31:49.257047 #18023]  INFO -- :   Parameters: {"url"=>nil, "ticket"=>"ST-...", "provider"=>"cas"}
I, [2019-02-05T05:31:49.259105 #18023]  INFO -- : inside allow_groups ["is_member"] empty? false
I, [2019-02-05T05:31:49.259686 #18023]  INFO -- : Redirected to https://forum.members.fsf.org/session/sso_login?sso=...&sig=...
I, [2019-02-05T05:31:49.260007 #18023]  INFO -- : Completed 302 Found in 3ms (ActiveRecord: 0.0ms)

Jede Hilfe bei diesem Problem wäre sehr willkommen.

Danke! : D

2

I’ve seen the error you reported in the screenshot for users who were imported, but have never before logged in. In my case WP is the SSO provider and the “problem users” don’t have a Single Sign On section at the bottom of their user page.

3

Thanks for the input. In my case, they have logged in before, and they do have the SSO section at the bottom of their user account page.

4

Great news! I figured out how to reproduce the error. If I try to log in as “Sudoman” instead of “sudoman”, then this error appears. Our CAS server (i’m not referring to the CAS SSO service connected with Discourse) allows people to log in lto our systems like that.

In any case, presuming that the SSO provider is passing the user to Discourse with the user name of “Sudoman”, is this error message the desired behavior in Discourse, or is it a bug?

In my case, it would make sense to allow the user to log in, but in other systems, that could be a different user who is trying to log in.

I tried creating an account with capitalized letters in the user name, and an account was created with the same capitalization. Trying to log in again with all lower case letters caused an error. That makes sense to me.

Maybe it would make sense to create a resource that lists the list of possible causes that produces this error message. It would help systems administrators track down the issue when this happens to their users.

Thanks! :smiley: