Errore di autenticazione LDAP con errore di timeout | Oak AEM

Descrizione

Ambiente
Adobe Experience Manager

Problema
Dopo la configurazione Autenticazione LDAP tramite AEM, non consente agli utenti LDAP di effettuare l'accesso. Viene visualizzato il seguente messaggio di log:

Caused by: org.apache.directory.api.ldap.model.exception.LdapException: TimeOut occurred

at org.apache.directory.ldap.client.api.LdapNetworkConnection.writeRequest(LdapNetworkConnection.java:4106)

at org.apache.directory.ldap.client.api.LdapNetworkConnection.bindAsync(LdapNetworkConnection.java:1290)

at org.apache.directory.ldap.client.api.LdapNetworkConnection.bind(LdapNetworkConnection.java:1188)

at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:127)

at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:112)

at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.bindConnection(DefaultLdapConnectionFactory.java:64)

at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.newLdapConnection(DefaultLdapConnectionFactory.java:107)

at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:133)

at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:59)

at org.apache.commons.pool.impl.GenericObjectPool.borrowObject(GenericObjectPool.java:1188)

at org.apache.directory.ldap.client.api.LdapConnectionPool.getConnection(LdapConnectionPool.java:123)

at org.apache.jackrabbit.oak.security.authentication.ldap.impl.LdapIdentityProvider.connect(LdapIdentityProvider.java:771)

... 57 common frames omitted

Risoluzione

Per risolvere il problema, è necessario eseguire il debug della connessione da AEM al server LDAP. Di seguito sono riportati alcuni elementi da controllare:

  1. Verificare che il server LDAP sia accessibile da computer diversi dal server AEM utilizzando un browser LDAP come JXplorer. Se non è accessibile, allora potrebbe essere inattivo o potrebbe esserci un problema di rete o firewall. Contatta il tuo team operativo di rete e il team che gestisce i server LDAP per indagare.

  2. Se il server LDAP è accessibile da altre macchine, eseguire il test dal sistema operativo del server AEM. Installa un client LDAP sul sistema operativo del server AEM e prova ad accedere al server LDAP da lì. Su Linux, puoi utilizzare il ldapsearch comando. In Windows, utilizza JXplorer.

  3. Se il server può raggiungere il server LDAP ma AEM l'accesso basato su LDAP non riesce, è necessario controllare il Provider di identità LDAP configurazione. Accedi a Console web OSGi (https://)aem-host:port/system/console/configMgr) e cerca Provider di identità LDAP Apache Jackrabbit Oak. Alcune cose che puoi provare potrebbero risolvere il problema:

    • Ottimizza DN base utente, Filtro extra utente, DN base gruppoRaggruppa filtro aggiuntivo affinché il filtro di ricerca restituisca solo gli utenti e i gruppi rilevanti a AEM.
    • Assicurati che DN di associazione e Password del binding sono corrette.
    • Deseleziona Ricerca pool amministratore su convalida e Ricerca pool di utenti su convalida.
    • Aumenta il Timeout ricerca.

    Schermata della configurazione del provider di identità LDAP:

    rtaimage_3_
  4. Nel caso della maggior parte dei clienti aziendali, LDAP è spesso bilanciato dal carico. Puoi anche affrontare questo problema se il load balancer seduto di fronte ai server LDAP ha inserito in blacklist il tuo IP del server AEM per qualche motivo. Se si verifica questo problema, coinvolgi il team LDAP per risolvere il problema. Come test rapido, potrebbe essere utile colpire l'IP del server LDAP bypassando direttamente il load balancer LDAP per vedere se l'autenticazione LDAP in AEM ha successo.

Causa
L'errore di timeout di solito indica che il server LDAP non è raggiungibile da AEM a causa di un firewall, un problema di rete o è inattivo o non reattivo.

In questa pagina