Lorsque les scripts d'action échouent dans les fournisseurs PAM personnalisés, il est essentiel de comprendre comment identifier et résoudre le problème. Plusieurs problèmes peuvent survenir avec un fournisseur PAM personnalisé en raison des différentes étapes impliquées. De plus, les fournisseurs PAM personnalisés reposent fortement sur les scripts d'action pour leur fonctionnalité, et selon la complexité du fournisseur d'identité, ces scripts d'action peuvent devenir complexes.
Des problèmes peuvent survenir si le fournisseur n'est pas testé de manière approfondie au préalable. Les directives suivantes aideront à identifier les problèmes potentiels et fourniront des étapes pour le dépannage.
Le problème peut ne pas toujours être immédiatement apparent. Bien que les scripts d'actions puissent fonctionner correctement isolément, les fournisseurs PAM personnalisés peuvent ne pas appliquer les changements de mot de passe comme prévu. Par exemple, si les scripts d'actions sont mal construits et retournent des informations inexactes, les fournisseurs PAM personnalisés peuvent utiliser ces informations pour prendre des décisions, en supposant que tout fonctionne correctement alors que ce n'est pas le cas.
Dans certains cas, le problème peut être plus évident, comme voir un message d'avertissement « hors synchronisation » pour l'utilisateur dans le coffre PAM Devolutions ou remarquer un problème dans les journaux PAM.

Étant donné que les fournisseurs PAM personnalisés fonctionnent principalement comme un orchestrateur de scripts, la majorité de sa fonctionnalité dépend des scripts d'actions. Si une erreur apparaît dans la console de Devolutions Server, il est important d'abord d'identifier quel script d'action est impliqué. Cela nécessite une compréhension de la façon dont les fournisseurs PAM personnalisés mappent la fonctionnalité aux scripts d'actions à travers sa terminologie.
Configuration de l'analyse: Les configurations d'analyse utilisent le script d'action de détection de compte.
Synchronisation : Les fournisseurs PAM personnalisés utilisent le terme "synchronisation" pour désigner l'exécution du script d'action de pulsation.
Réinitialisation de mot de passe : initier une réinitialisation de mot de passe dans les fournisseurs PAM personnalisés implique à la fois les scripts d'action de rotation de mot de passe et de pulsation.
Après avoir identifié les scripts d'actions impliqués, il est conseillé de les tester en dehors des fournisseurs PAM personnalisés pour s'assurer que le problème ne provient pas du script d'action lui-même. Les mêmes paramètres définis via Script Parameters lors de la création du modèle doivent être passés au script. Il est crucial de vérifier que le script PowerShell retourne les résultats attendus pour les fournisseurs PAM personnalisés :
Détection de compte: Devrait générer au moins un objet
pscustomobject
avec les propriétésid
,nom d'utilisateur
, etsecret
.Battement de cœur: Devrait avoir les paramètres
nom d'utilisateur
etsecret
et retourner une seule valeur booléenne, soit$true
ou$false
.Rotation de mot de passe: Devrait inclure les paramètres pour le point d'accès de gestion d'identité, le nom d'utilisateur du point d'accès, le mot de passe du point d'accès, et un paramètre spécifiquement nommé
NewPassword
.