Configuración de LDAP con AEM 6 configuring-ldap-with-aem
LDAP (el L ponderación D directorio A acceso P protocolo) se utiliza para acceder a servicios de directorio centralizados. Esto ayuda a reducir el esfuerzo necesario para administrar las cuentas de usuario, ya que se puede acceder a ellas desde varias aplicaciones. Uno de estos servidores LDAP es Active Directory. LDAP se utiliza a menudo para lograr el inicio de sesión único, que permite al usuario acceder a varias aplicaciones después de iniciar sesión una vez.
Las cuentas de usuario se pueden sincronizar entre el servidor LDAP y el repositorio, y los detalles de las cuentas LDAP se guardan en el repositorio. Esto permite que las cuentas se asignen a grupos de repositorios para asignar los permisos y privilegios necesarios.
El repositorio utiliza la autenticación LDAP para autenticar a esos usuarios, con credenciales pasadas al servidor LDAP para su validación, que es necesario antes de permitir el acceso al repositorio. Para mejorar el rendimiento, el repositorio puede almacenar en caché las credenciales validadas correctamente, con un tiempo de espera de caducidad para garantizar que la revalidación se produzca después de un periodo adecuado.
Cuando se elimina una cuenta del servidor LDAP, ya no se concede la validación y, por lo tanto, se deniega el acceso al repositorio. Los detalles de las cuentas LDAP que se guardan en el repositorio también se pueden depurar.
El uso de estas cuentas es transparente para los usuarios, no ven ninguna diferencia entre las cuentas de usuario y grupo creadas a partir de LDAP y las creadas únicamente en el repositorio.
En AEM 6, la compatibilidad con LDAP viene con una nueva implementación que requiere un tipo de configuración diferente al de las versiones anteriores.
Todas las configuraciones LDAP ahora están disponibles como configuraciones de OSGi. Se pueden configurar a través de la consola de administración web en:https://serveraddress:4502/system/console/configMgr
Para que LDAP funcione con AEM, debe crear tres configuraciones OSGi:
- Un proveedor de identidad LDAP (IDP).
- Controlador de sincronización.
- Un módulo de inicio de sesión externo.
Configuración Del Proveedor De Identidad LDAP configuring-the-ldap-identity-provider
El proveedor de identidad LDAP se utiliza para definir cómo se recuperan los usuarios del servidor LDAP.
Se encuentra en la consola de administración, en la sección Proveedor de identidad de Apache Jackrabbit Oak LDAP nombre.
Las siguientes opciones de configuración están disponibles para el proveedor de identidad LDAP:
Configuración Del Controlador De Sincronización configuring-the-synchronization-handler
El controlador de sincronización definirá cómo se sincronizarán los usuarios y grupos del proveedor de identidad con el repositorio.
Se encuentra debajo de la Controlador de sincronización predeterminado Apache Jackrabbit Oak nombre en la consola de administración.
Las siguientes opciones de configuración están disponibles para el controlador de sincronización:
El módulo de inicio de sesión externo the-external-login-module
El módulo de inicio de sesión externo se encuentra en la sección Módulo de inicio de sesión externo Apache Jackrabbit Oak en la consola de administración.
Su trabajo es definir qué proveedor de identidad y controlador de sincronización utilizar, enlazando efectivamente los dos módulos.
Estas son las opciones de configuración disponibles:
Configuración de LDAP sobre SSL configure-ldap-over-ssl
AEM 6 se puede configurar para autenticarse con LDAP sobre SSL siguiendo el siguiente procedimiento:
-
Marque la Usar SSL o Usar TLS casillas de verificación al configurar la variable Proveedor de identidad LDAP.
-
Configure el controlador de sincronización y el módulo de inicio de sesión externo según su configuración.
-
Instale los certificados SSL en la VM de Java si es necesario. Esto se puede hacer con keytool:
keytool -import -alias localCA -file <certificate location> -keystore <keystore location>
-
Pruebe la conexión con el servidor LDAP.
Creación de certificados SSL creating-ssl-certificates
Los certificados con firma automática se pueden utilizar al configurar AEM para autenticarse con LDAP mediante SSL. A continuación se muestra un ejemplo de un procedimiento de trabajo para generar certificados para su uso con AEM.
-
Asegúrese de tener una biblioteca SSL instalada y funcionando. Este procedimiento utilizará OpenSSL como ejemplo.
-
Cree un archivo de configuración OpenSSL personalizado (cnf). Esto se puede hacer copiando el archivo de configuración predeterminado openssl.cnf y personalizándolo. En sistemas UNIX, normalmente se ubica en
/usr/lib/ssl/openssl.cnf
-
Continúe creando la clave raíz de CA ejecutando el siguiente comando en un terminal:
code language-none openssl genpkey -algorithm [public key algorithm] -out certificatefile.key -pkeyopt [public key algorithm option]
-
A continuación, cree un nuevo certificado autofirmado:
openssl req -new -x509 -days [number of days for certification] -key certificatefile.key -out root-ca.crt -config CA/openssl.cnf
-
Inspect el certificado recién generado para asegurarse de que todo está en orden:
openssl x509 -noout -text -in root-ca.crt
-
Asegúrese de que todas las carpetas especificadas en el archivo de configuración de certificado (.cnf) existan. Si no es así, créelos.
-
Cree una semilla aleatoria, ejecutando, por ejemplo:
openssl rand -out private/.rand 8192
-
Mueva los archivos .pem creados a las ubicaciones configuradas en el archivo .cnf.
-
Finalmente, agregue el certificado al almacén de claves de Java.
Habilitación del registro de depuración enabling-debug-logging
El registro de depuración se puede habilitar tanto para el proveedor de identidad LDAP como para el módulo de inicio de sesión externo para solucionar problemas de conexión.
Para habilitar el registro de depuración, debe:
- Vaya a la Consola de administración web.
- Busque "Configuración del registrador de Sling de Apache" y cree dos registradores con las siguientes opciones:
-
Nivel de registro: Depuración
-
Archivo de registro logs/ldap.log
-
Patrón de mensaje: {0,date,dd.MM.yyyy HHs.SSS} *{4}* {2}
-
Registrador: org.apache.jackrabbit.oak.security.authentication.ldap
-
Nivel de registro: Depuración
-
Archivo de registro: logs/external.log
-
Patrón de mensaje: {0,date,dd.MM.yyyy HHs.SSS} *{4}* {2}
-
Registrador: org.apache.jackrabbit.oak.spi.security.authentication.external
Una palabra sobre afiliación de grupo a-word-on-group-affiliation
Los usuarios sincronizados a través de LDAP pueden formar parte de diferentes grupos en AEM. Estos grupos pueden ser grupos LDAP externos que se agregarán a AEM como parte del proceso de sincronización, pero también pueden ser grupos que se agregan por separado y que no forman parte del esquema de afiliación del grupo LDAP original.
En la mayoría de los casos, pueden ser grupos agregados por un administrador de AEM local o por cualquier otro proveedor de identidad.
Si se elimina a un usuario de un grupo en el servidor LDAP, el cambio también se reflejará en el lado AEM tras la sincronización. Sin embargo, todas las demás afiliaciones de grupo del usuario que no fueron agregadas por LDAP permanecerán en su lugar.
AEM detecta y gestiona la depuración de usuarios de grupos externos mediante el uso de la variable rep:externalId
propiedad. Esta propiedad se agrega automáticamente a cualquier usuario o grupo que sincronice el controlador de sincronización y contiene información sobre el proveedor de identidad de origen.
Para obtener más información, consulte la documentación de Apache Oak en Sincronización de usuarios y grupos.
Problemas conocidos known-issues
Si planea utilizar LDAP sobre SSL, asegúrese de que los certificados que está utilizando se crean sin la opción de comentario de Netscape. Si esta opción está habilitada, la autenticación fallará con un error de protocolo de enlace SSL.