LDAP-Authentifizierung schlägt mit Zeitüberschreitungsfehler fehl | AEM Oak
In diesem Artikel erfahren Sie, wie Sie Probleme beheben und beheben können, die LDAP-Benutzer daran hindern, sich anzumelden, um einen reibungslosen Benutzerzugriff und Sicherheit zu gewährleisten. Um den Fehler zu beheben, debuggen Sie die Verbindung von AEM mit dem LDAP-Server.
Beschreibung
Umgebung
Adobe Experience Manager 6.5
Problem/Symptome
Nach der Konfiguration LDAP-Authentifizierung über AEM können sich LDAP-Benutzer nicht anmelden. Die folgende Protokollmeldung wird angezeigt:
Caused by: org.apache.directory.api.ldap.model.exception.LdapException: TimeOut occurred
at org.apache.directory.ldap.client.api.LdapNetworkConnection.writeRequest(LdapNetworkConnection.java:4106)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bindAsync(LdapNetworkConnection.java:1290)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bind(LdapNetworkConnection.java:1188)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:127)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:112)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.bindConnection(DefaultLdapConnectionFactory.java:64)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.newLdapConnection(DefaultLdapConnectionFactory.java:107)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:133)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:59)
at org.apache.commons.pool.impl.GenericObjectPool.borrowObject(GenericObjectPool.java:1188)
at org.apache.directory.ldap.client.api.LdapConnectionPool.getConnection(LdapConnectionPool.java:123)
at org.apache.jackrabbit.oak.security.authentication.ldap.impl.LdapIdentityProvider.connect(LdapIdentityProvider.java:771)
... 57 common frames omitted
Auflösung
Sie müssen die Verbindung zwischen AEM und dem LDAP-Server debuggen. Hier sind einige Dinge zu überprüfen:
-
Vergewissern Sie sich, dass der LDAP-Server über einen LDAP-Browser (z. B. „JXplorer„) von anderen Computern als dem AEMServer zugänglich. Wenn nicht darauf zugegriffen werden kann, ist es möglicherweise ausgefallen oder es liegt ein Netzwerk- oder Firewall-Problem vor. Wenden Sie sich an Ihr Netzwerkteam und an das Team, das Ihre LDAP-Server verwaltet, um eine Untersuchung durchzuführen.
-
Wenn der LDAP-Server von anderen Computern aus zugänglich ist, testen Sie ihn vom AEM-Serverbetriebssystem aus. Installieren Sie einen LDAP-Client auf dem Betriebssystem des AEM-Servers und versuchen Sie, von dort aus auf den LDAP-Server zuzugreifen. Unter Linux können Sie den Befehl "". Verwenden Sie unter Windows JXplorer.
-
Wenn der Server den LDAP-Server erreichen kann, aber die AEM LDAP-basierte Anmeldung fehlschlägt, müssen wir die Konfiguration LDAP Identity Provider überprüfen. Melden Sie sich bei OSGi Web Console an (https://aem-host:port/system/console/configMgr) und suchen Sie nach Apache Jackrabbit Oak LDAP Identity Provider. Einige Dinge, die Sie ausprobieren können, um das Problem zu lösen:
- Passen Sie Benutzer-Basis-DN, Benutzer-Zusatzfilter, Gruppen-Basis-DN und Gruppen-Zusatzfilter an, damit der Suchfilter nur relevante Benutzende und Gruppen an AEM zurückgibt.
- Stellen Sie sicher dass der Bindungs-DN) und Bindungskennwort korrekt sind.
- Deaktivieren Sie Admin-Pool-Suche bei und Benutzerpool-Suche bei validate.
- Erhöhen Sie die Zeitüberschreitung bei Suche.
Screenshot der LDAP-Identitäts-Provider-Konfiguration:
-
Bei den meisten Unternehmenskunden ist LDAP oft ein Lastenausgleich. Dieses Problem kann auch auftreten, wenn der Lastenausgleich vor den LDAP-Servern Ihre AEM-Server-IP aus irgendeinem Grund auf die schwarze Liste gesetzt hat. Wenn dieses Problem auftritt, wenden Sie sich an das LDAP-Team, um dieses Problem zu beheben. Als Schnelltest empfiehlt es sich, die IP des LDAP-Servers direkt unter Umgehung des LDAP-Lastenausgleichs aufzurufen, um festzustellen, ob die LDAP-Authentifizierung in AEM erfolgreich war.
Ursache
Der Zeitüberschreitungsfehler zeigt in der Regel an, dass der LDAP-Server von AEM entweder aufgrund eines Firewall- oder Netzwerkproblems nicht erreichbar ist oder dass er ausgefallen ist oder nicht reagiert.