Falha na autenticação LDAP com erro de tempo limite | AEM Oak
Solucione e resolva problemas que impedem que os usuários do LDAP façam logon, garantindo acesso e segurança ininterruptos aos usuários. Para corrigir o erro, depure a conexão do AEM com o servidor LDAP.
Descrição description
Ambiente
Adobe Experience Manager
Problema/Sintomas
Após configurar a autenticação LDAP via AEM, ocorre uma falha ao permitir que os usuários LDAP façam logon. A seguinte mensagem de log é mostrada:
Caused by: org.apache.directory.api.ldap.model.exception.LdapException: TimeOut occurred
at org.apache.directory.ldap.client.api.LdapNetworkConnection.writeRequest(LdapNetworkConnection.java:4106)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bindAsync(LdapNetworkConnection.java:1290)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bind(LdapNetworkConnection.java:1188)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:127)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:112)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.bindConnection(DefaultLdapConnectionFactory.java:64)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.newLdapConnection(DefaultLdapConnectionFactory.java:107)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:133)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:59)
at org.apache.commons.pool.impl.GenericObjectPool.borrowObject(GenericObjectPool.java:1188)
at org.apache.directory.ldap.client.api.LdapConnectionPool.getConnection(LdapConnectionPool.java:123)
at org.apache.jackrabbit.oak.security.authentication.ldap.impl.LdapIdentityProvider.connect(LdapIdentityProvider.java:771)
... 57 common frames omitted
Resolução resolution
Para corrigir o problema, é necessário depurar a conexão do AEM com o servidor LDAP. Veja algumas coisas que devem ser verificadas:
-
Verifique se o servidor LDAP pode ser acessado de outras máquinas que não o servidor AEM usando um navegador LDAP como o JXplorer. Se não estiver acessível, pode estar inativo ou pode haver um problema de rede ou firewall. Entre em contato com a equipe de operações de rede e com a equipe que gerencia os servidores LDAP para investigar.
-
Se o servidor LDAP for acessível a partir de outras máquinas, teste a partir do SO do servidor AEM. Instale um cliente LDAP no SO do servidor AEM e tente acessar o servidor LDAP a partir desse ponto. No Linux, você pode usar o comando ldapsearch. No Windows, use JXplorer.
-
Se o servidor conseguir acessar o servidor LDAP, mas o logon baseado em AEM LDAP estiver falhando, será necessário verificar a configuração do Provedor de Identidade LDAP. Faça logon no Console da Web do OSGi (https://aem-host:port/system/console/configMgr) e pesquise pelo Provedor de Identidade LDAP do Apache Jackrabbit Oak. Você pode tentar algumas coisas que podem resolver o problema:
- Ajuste o DN base do usuário, Filtro extra do usuário, DN base do grupo e Filtro extra do grupo para fazer com que o filtro de pesquisa retorne apenas usuários e grupos relevantes ao AEM.
- Verifique se o DN de Ligação e a senha de Ligação estão corretos.
- Desmarque a Pesquisa de pool de administradores na validação e a Pesquisa de pool de usuários na validação.
- Aumente o Tempo limite de pesquisa.
Captura de tela da configuração do Provedor de Identidade LDAP:
-
No caso da maioria dos clientes corporativos, o LDAP geralmente tem balanceamento de carga. Você também pode enfrentar esse problema se o balanceador de carga na frente dos servidores LDAP tiver incluído o seu IP do servidor AEM na blacklist por algum motivo. Se esse problema ocorrer, entre em contato com a equipe do LDAP para resolvê-lo. Como um teste rápido, talvez você queira atingir o IP do servidor LDAP ignorando diretamente o balanceador de carga LDAP para ver se a autenticação LDAP no AEM é bem-sucedida.
Causa
O erro de tempo limite geralmente indica que o servidor LDAP está inacessível pelo AEM devido a um problema de firewall ou de rede, ou está inativo ou sem resposta.