Errore di autenticazione LDAP con errore di timeout | Oak AEM

Descrizione


Problema


Hai configurato Autenticazione LDAP tramite AEM 1 e non consente agli utenti LDAP di effettuare l'accesso.  Di seguito è riportato il messaggio di log:

Caused by: org.apache.directory.api.ldap.model.exception.LdapException: TimeOut occurred at org.apache.directory.ldap.client.api.LdapNetworkConnection.writeRequest(LdapNetworkConnection.java:4106) at org.apache.directory.ldap.client.api.LdapNetworkConnection.bindAsync(LdapNetworkConnection.java:1290) at org.apache.directory.ldap.client.api.LdapNetworkConnection.bind(LdapNetworkConnection.java:1188) at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:127) at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:112) at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.bindConnection(DefaultLdapConnectionFactory.java:64) at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.newLdapConnection(DefaultLdapConnectionFactory.java:107) at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:133) at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:59) at org.apache.commons.pool.impl.GenericObjectPool.borrowObject(GenericObjectPool.java:1188) at org.apache.directory.ldap.client.api.LdapConnectionPool.getConnection(LdapConnectionPool.java:123) at org.apache.jackrabbit.oak.security.authentication.ldap.impl.LdapIdentityProvider.connect(LdapIdentityProvider.java:771) ... 57 common frames omitted

https://docs.adobe.com/docs/en/aem/6-2/administer/security/ldap-config.html




 




 

Risoluzione

Causa L'errore di timeout in genere indica che il server LDAP non è raggiungibile da AEM a causa di un firewall, un problema di rete o è inattivo o non risponde.

Passaggi per la risoluzione

Per risolvere il problema, è necessario eseguire il debug della connessione da AEM al server LDAP.  Di seguito sono riportati alcuni elementi da controllare:

  • Verificare che il server LDAP sia accessibile da computer diversi dal server AEM utilizzando un browser LDAP come JXplorer.  Se non è accessibile, allora potrebbe essere inattivo o potrebbe esserci un problema di rete o firewall. Contatta il tuo team operativo di rete e il team che gestisce i server LDAP per indagare.
  • Se il server LDAP è accessibile da altre macchine, eseguire il test dal sistema operativo del server AEM.  Installa un client LDAP sul sistema operativo del server AEM e prova ad accedere al server ldap da lì.  Su Linux, puoi utilizzare il ldapsearch comando.  In Windows, utilizza JXplorer.
  • Se il server può raggiungere il server LDAP, ma AEM l'accesso basato su LDAP non riesce, dobbiamo controllare la configurazione del "provider di identità LDAP".  Accedi alla console Web OSGi (http://)aem-host:port/system/console/configMgr) e cerca "Provider di identità LDAP Apache Jackrabbit Oak".  Alcune cose che puoi provare potrebbero risolvere il problema:
    • Ottimizza "DN base utente", "Filtro extra utente", "DN base gruppo", e "Raggruppa filtro aggiuntivo" affinché il filtro di ricerca restituisca solo gli utenti e i gruppi rilevanti a AEM.
    • Assicurati che "DN di associazione" e "Password del binding" sono corrette
    • Deseleziona "Ricerca pool amministratore su convalida" e "Ricerca pool di utenti su convalida."
    • Aumenta il "Timeout ricerca"

Schermata della configurazione del provider di identità LDAP:
rtaimage_3_

  • Nel caso della maggior parte dei clienti aziendali, LDAP è spesso bilanciato dal carico. Puoi anche affrontare questo problema se il load balancer seduto di fronte ai server LDAP ha inserito in blacklist il tuo IP del server AEM per qualche motivo. Se si verifica questo problema, coinvolgi il team LDAP per risolvere il problema. Come test rapido, potrebbe essere utile colpire l'IP del server LDAP bypassando direttamente il load balancer LDAP per vedere se l'autenticazione LDAP in AEM ha successo.

In questa pagina