タイムアウトエラーで LDAP 認証が失敗する | AEM Oak
LDAP ユーザーのログインを妨げる問題のトラブルシューティングと解決を行い、ユーザーのアクセスとセキュリティをスムーズにします。 エラーを修正するには、AEMから LDAP サーバーへの接続をデバッグします。
説明 description
環境
Adobe Experience Manager
問題/症状
設定後 AEMを介した LDAP 認証に設定されていない場合、LDAP ユーザーのログインを許可できません。 次のログメッセージが表示されます。
Caused by: org.apache.directory.api.ldap.model.exception.LdapException: TimeOut occurred
at org.apache.directory.ldap.client.api.LdapNetworkConnection.writeRequest(LdapNetworkConnection.java:4106)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bindAsync(LdapNetworkConnection.java:1290)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bind(LdapNetworkConnection.java:1188)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:127)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:112)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.bindConnection(DefaultLdapConnectionFactory.java:64)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.newLdapConnection(DefaultLdapConnectionFactory.java:107)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:133)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:59)
at org.apache.commons.pool.impl.GenericObjectPool.borrowObject(GenericObjectPool.java:1188)
at org.apache.directory.ldap.client.api.LdapConnectionPool.getConnection(LdapConnectionPool.java:123)
at org.apache.jackrabbit.oak.security.authentication.ldap.impl.LdapIdentityProvider.connect(LdapIdentityProvider.java:771)
... 57 common frames omitted
解決策 resolution
この問題を修正するには、AEMから LDAP サーバーへの接続をデバッグする必要があります。 次に、確認すべき点を示します。
-
LDAP サーバーが、次のような LDAP ブラウザーを使用して、AEMサーバー以外のマシンからアクセスできることを確認します。 JXplorer. アクセスできない場合は、ダウンしているか、ネットワークまたはファイアウォールの問題が発生している可能性があります。 ネットワークオペレーションチームと、調査する LDAP サーバーを管理するチームに問い合わせてください。
-
LDAP サーバーが他のマシンからアクセス可能な場合は、AEMサーバー OS からテストします。 AEMサーバー OS に LDAP クライアントをインストールし、そこから LDAP サーバーにアクセスしてみます。 Linux では、 ldapsearch コマンドを使用します。 Windows では、 JXplorer.
-
サーバーが LDAP サーバーに到達できるが、AEM LDAP ベースのログインが失敗する場合は、 LDAP ID プロバイダー 設定。 にログインします。 OSGi Web コンソール (https://aem-host:port/system/console/configMgr) を検索し、以下を検索します。 Apache Jackrabbit Oak LDAP Identity Provider. 問題が解決する可能性がある場合は、以下の操作を実行します。
- 微調整する User base DN, ユーザーの追加フィルター, Group base DN、および グループ追加フィルター を指定すると、検索フィルターは関連するユーザーおよびグループのみをAEMに返します。
- 次を確認します。 バインド DN および バインドパスワード が正しい。
- オフ 検証時の管理者プール参照 および 検証時のユーザープール参照。
- を増やす 検索タイムアウト。
LDAP ID プロバイダー設定のスクリーンショット:
-
ほとんどの企業のお客様の場合、LDAP は負荷分散が行われることが多い。 また、LDAP サーバーの前にあるロードバランサーが何らかの理由でAEM Server IP をブラックリストに登録している場合にも、この問題が発生する可能性があります。 この問題が発生した場合は、LDAP チームに問い合わせて、この問題を解決してください。 クイックテストとして、LDAP ロードバランサーを直接バイパスして LDAP サーバーの IP を直接ヒットし、AEMでの LDAP 認証が成功したかどうかを確認することができます。
原因:
タイムアウトエラーは、通常、LDAP サーバーがファイアウォール、ネットワークの問題によりAEMに到達できないか、ダウンしているか応答しないかのどちらかであることを示します。