Fallo en la autenticación LDAP con error de tiempo de espera | AEM Oak

Descripción


Problema


Ha configurado Autenticación LDAP mediante AEM 1 y no permite a los usuarios LDAP iniciar sesión.  Verá el mensaje de registro a continuación:

Caused by: org.apache.directory.api.ldap.model.exception.LdapException: TimeOut occurred at org.apache.directory.ldap.client.api.LdapNetworkConnection.writeRequest(LdapNetworkConnection.java:4106) at org.apache.directory.ldap.client.api.LdapNetworkConnection.bindAsync(LdapNetworkConnection.java:1290) at org.apache.directory.ldap.client.api.LdapNetworkConnection.bind(LdapNetworkConnection.java:1188) at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:127) at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:112) at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.bindConnection(DefaultLdapConnectionFactory.java:64) at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.newLdapConnection(DefaultLdapConnectionFactory.java:107) at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:133) at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:59) at org.apache.commons.pool.impl.GenericObjectPool.borrowObject(GenericObjectPool.java:1188) at org.apache.directory.ldap.client.api.LdapConnectionPool.getConnection(LdapConnectionPool.java:123) at org.apache.jackrabbit.oak.security.authentication.ldap.impl.LdapIdentityProvider.connect(LdapIdentityProvider.java:771) ... 57 common frames omitted

https://docs.adobe.com/docs/en/aem/6-2/administer/security/ldap-config.html




 




 

Resolución

Causa El error de tiempo de espera normalmente indica que el servidor LDAP no está disponible AEM debido a un firewall, un problema de red o que está inactivo o no responde.

Pasos que se deben resolver

Para solucionar el problema, debe depurar la conexión de AEM al servidor LDAP.  A continuación se presentan algunas cosas para comprobar:

  • Compruebe que el servidor LDAP es accesible desde otras máquinas que no sean el servidor AEM utilizando un navegador LDAP como JXplorer.  Si no es accesible, puede que esté inactivo o que haya un problema de red o firewall. Póngase en contacto con el equipo de operaciones de red y con el equipo que administra los servidores LDAP para investigar.
  • Si el servidor LDAP es accesible desde otras máquinas, pruebe desde el sistema operativo del servidor AEM.  Instale un cliente LDAP en el sistema operativo del servidor AEM e intente acceder al servidor LDAP desde allí.  En Linux, puede usar la variable ldapsearch comando.  En Windows, use JXplorer.
  • Si el servidor puede llegar al servidor LDAP, pero AEM inicio de sesión basado en LDAP está fallando, entonces necesitamos comprobar la configuración del "proveedor de identidad LDAP".  Inicie sesión en la consola web OSGi (http://aem-host:port/system/console/configMgr) y busque "Proveedor de identidad de Apache Jackrabbit Oak LDAP".  Algunas cosas que puede probar que podrían resolver el problema:
    • Ajuste la "DN de base de usuario", "Filtro extra del usuario", "DN de base de grupo", y "Filtro extra de grupo" para que el filtro de búsqueda solo devuelva a los usuarios y grupos relevantes a AEM.
    • Asegúrese de que la variable Enlace DN" y "Vincular contraseña" son correctos
    • Desmarcar "Búsqueda de grupos de administradores en validación" y "Búsqueda de grupos de usuarios en validación."
    • Aumente el "Tiempo de espera de búsqueda"

Captura de pantalla de la configuración del proveedor de identidad LDAP:
rtaimage_3_

  • En el caso de la mayoría de los clientes empresariales, LDAP suele estar equilibrado en la carga. También puede enfrentarse a este problema si el equilibrador de carga que se encuentra frente a los servidores LDAP ha bloqueado su IP del servidor AEM por algún motivo. Si surge este problema, pídale al equipo LDAP que resuelva el problema. Como prueba rápida, puede que desee visitar la IP del servidor LDAP directamente evitando el equilibrador de carga LDAP para ver si la autenticación LDAP en AEM es correcta.

En esta página