Échec de l’authentification LDAP avec erreur de délai d’expiration | AEM Oak

Description


Problème


Vous avez configuré Authentification LDAP via AEM 1 et ne permet pas aux utilisateurs LDAP de se connecter.  Le message du journal ci-dessous s’affiche :

Caused by: org.apache.directory.api.ldap.model.exception.LdapException: TimeOut occurred at org.apache.directory.ldap.client.api.LdapNetworkConnection.writeRequest(LdapNetworkConnection.java:4106) at org.apache.directory.ldap.client.api.LdapNetworkConnection.bindAsync(LdapNetworkConnection.java:1290) at org.apache.directory.ldap.client.api.LdapNetworkConnection.bind(LdapNetworkConnection.java:1188) at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:127) at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:112) at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.bindConnection(DefaultLdapConnectionFactory.java:64) at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.newLdapConnection(DefaultLdapConnectionFactory.java:107) at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:133) at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:59) at org.apache.commons.pool.impl.GenericObjectPool.borrowObject(GenericObjectPool.java:1188) at org.apache.directory.ldap.client.api.LdapConnectionPool.getConnection(LdapConnectionPool.java:123) at org.apache.jackrabbit.oak.security.authentication.ldap.impl.LdapIdentityProvider.connect(LdapIdentityProvider.java:771) ... 57 common frames omitted

https://docs.adobe.com/docs/en/aem/6-2/administer/security/ldap-config.html




 




 

Résolution

Cause L’erreur de délai d’expiration indique généralement que le serveur LDAP est inaccessible par AEM en raison d’un pare-feu, d’un problème réseau ou qu’il est hors service ou qu’il ne répond pas.

Étapes à résoudre

Pour résoudre ce problème, vous devez déboguer la connexion d’AEM au serveur LDAP.  Voici quelques éléments à vérifier :

  • Vérifiez que le serveur LDAP est accessible à partir d’autres machines que le serveur AEM à l’aide d’un navigateur LDAP tel que JXplorer.  S’il n’est pas accessible, il se peut qu’il soit en panne ou qu’il y ait un problème de réseau ou de pare-feu. Contactez votre équipe des opérations réseau et l’équipe qui gère vos serveurs LDAP pour enquêter.
  • Si le serveur LDAP est accessible à partir d’autres machines, testez-le à partir du système d’exploitation du serveur AEM.  Installez un client LDAP sur le système d’exploitation AEM serveur et essayez d’accéder au serveur LDAP à partir de celui-ci.  Sous Linux, vous pouvez utiliser la variable ldapsearch .  Sous Windows, utilisez JXplorer.
  • Si le serveur peut atteindre le serveur LDAP, mais que AEM connexion basée sur LDAP échoue, nous devons vérifier la configuration "LDAP Identity Provider".  Connectez-vous à la console web OSGi (http://)aem-host:port/system/console/configMgr) et recherchez "Fournisseur d’identité LDAP Apache Jackrabbit Oak".  Certaines choses que vous pouvez essayer peuvent résoudre le problème :
    • Réglez précisément le ND de base de l’utilisateur", "Filtre supplémentaire utilisateur", "DN de base du groupe", et "Filtre supplémentaire de groupe" pour que le filtre de recherche renvoie uniquement les utilisateurs et les groupes concernés à AEM.
    • Assurez-vous que le DN de liaison" et "Bind password" sont corrects
    • Décochez "Recherche dans le pool d’administrateurs lors de la validation" et "Recherche dans le pool d’utilisateurs lors de la validation."
    • Augmentez le Délai de recherche"

Capture d’écran de la configuration du fournisseur d’identité LDAP :
rtaimage_3_

  • Dans le cas de la plupart des clients d’entreprise, LDAP est souvent équilibré en charge. Vous pouvez également rencontrer ce problème si l’équilibreur de charge situé devant les serveurs LDAP a placé sur la liste bloquée votre adresse IP de serveur AEM pour une raison quelconque. Si ce problème survient, contactez l’équipe LDAP pour résoudre ce problème. Pour un test rapide, vous pouvez appuyer directement sur l’adresse IP du serveur LDAP en contournant l’équilibreur de charge LDAP pour voir si l’authentification LDAP dans AEM est réussie.

Sur cette page