AEM Configuración de LDAP con 6 configuring-ldap-with-aem

LDAP (el protocolo L L D irectory A ccess P rotocol) se usa para acceder a los servicios de directorio centralizados. Ayuda a reducir el esfuerzo necesario para administrar las cuentas de usuario, ya que varias aplicaciones pueden acceder a ellas. Uno de estos servidores LDAP es Active Directory. LDAP se utiliza a menudo para lograr el inicio de sesión único, que permite al usuario acceder a varias aplicaciones después de iniciar sesión una vez.

Las cuentas de usuario se pueden sincronizar entre el servidor LDAP y el repositorio, y los detalles de la cuenta LDAP se guardan en el repositorio. Esta funcionalidad permite asignar las cuentas a grupos de repositorios para asignar los permisos y privilegios necesarios.

El repositorio utiliza la autenticación LDAP para autenticar a estos usuarios, con credenciales que se pasan al servidor LDAP para su validación, que es necesaria antes de permitir el acceso al repositorio. Para mejorar el rendimiento, el repositorio puede almacenar en caché las credenciales validadas correctamente, con un tiempo de espera de caducidad para garantizar que la revalidación se produzca después de un periodo adecuado.

Cuando se quita una cuenta del servidor LDAP, ya no se concede la validación y se deniega el acceso al repositorio. Los detalles de las cuentas LDAP guardadas en el repositorio también se pueden purgar.

El uso de dichas cuentas es transparente para los usuarios. Es decir, no ven ninguna diferencia entre las cuentas de usuario y de grupo creadas a partir de LDAP y las cuentas creadas únicamente en el repositorio.

AEM En el 6 de marzo, la compatibilidad con LDAP viene con una nueva implementación que requiere un tipo de configuración diferente a la de las versiones anteriores.

Todas las configuraciones de LDAP están ahora disponibles como configuraciones de OSGi. Se pueden configurar mediante la consola de administración web en:
https://serveraddress:4502/system/console/configMgr

AEM Para que LDAP funcione con la opción de configuración de la aplicación, debe crear tres configuraciones de OSGi:

  1. Un proveedor de identidad LDAP (IDP).
  2. Un controlador de sincronización.
  3. Un módulo de inicio de sesión externo.
NOTE
Vea Módulo de inicio de sesión externo de Oak: autenticación con LDAP y posterior para profundizar en los módulos de inicio de sesión externo.
Para leer un ejemplo de configuración del Experience Manager con Apache DS, consulte Configuración de Adobe Experience Manager 6.5 para usar el servicio de directorio Apache.

Configuración del proveedor de identidad LDAP configuring-the-ldap-identity-provider

El proveedor de identidad LDAP se utiliza para definir cómo se recuperan los usuarios del servidor LDAP.

Se encuentra en la consola de administración bajo el nombre de Proveedor de identidad LDAP de Apache Jackrabbit Oak.

Las siguientes opciones de configuración están disponibles para el proveedor de identidad LDAP:

Nombre de proveedor LDAP
Nombre de esta configuración de proveedor LDAP.
Nombre de host del servidor LDAP
Nombre de host del servidor LDAP
Puerto del servidor LDAP
Puerto del servidor LDAP
Usar SSL
Indica si se debe utilizar una conexión SSL (LDAP).
Usar TLS
Indica si TLS debe iniciarse en las conexiones.
Deshabilitar comprobación de certificados
Indica si la validación de certificados de servidor debe deshabilitarse.
Enlazar DN
DN del usuario para la autenticación. Si este campo se deja vacío, se realiza un enlace anónimo.
Contraseña de enlace
Contraseña del usuario para la autenticación
Tiempo de espera de búsqueda
Tiempo hasta que finaliza la búsqueda
Grupo de administradores máximo activo
Tamaño máximo activo del grupo de conexión de administrador.
Grupo de usuarios máximo activo
Tamaño máximo activo del grupo de conexión de usuario.
DN base de usuario
DN para búsquedas de usuarios
Clases de objeto de usuario
La lista de clases de objeto que debe contener una entrada de usuario.
Atributo de ID de usuario
Nombre del atributo que contiene el ID de usuario.
Filtro adicional de usuario
Filtro LDAP adicional que se utiliza al buscar usuarios. El filtro final tiene el siguiente formato: '(&(<idAttr>=<userId>)(objectclass=<objectclass>)<extraFilter>)' (user.extraFilter)
Rutas DN de usuario
Controla si el DN debe utilizarse para calcular una parte de la ruta intermedia.
DN base de grupo
DN base para búsquedas de grupo.
Agrupar clases de objeto
La lista de clases de objeto que debe contener una entrada de grupo.
Atributo de nombre de grupo
Nombre del atributo que contiene el nombre del grupo.
Filtro adicional de grupo
Filtro LDAP adicional que se utilizará al buscar grupos. El filtro final tiene el siguiente formato: '(&(<nameAttr>=<groupName>)(objectclass=<objectclass>)<extraFilter>)'
Agrupar rutas DN
Controla si el DN debe utilizarse para calcular una parte de la ruta intermedia.
Atributo de miembro de grupo
Atributo de grupo que contiene uno o varios miembros de un grupo.

Configuración Del Controlador De Sincronización configuring-the-synchronization-handler

El controlador de sincronización define cómo se sincronizan los usuarios y grupos del proveedor de identidad con el repositorio.

Se encuentra bajo el nombre Apache Jackrabbit Oak Default Sync Handler en la consola de administración.

Las siguientes opciones de configuración están disponibles para el Controlador de sincronización:

Nombre del controlador de sincronización
Nombre de la configuración de sincronización.
Hora de caducidad del usuario
Duración hasta que caduque un usuario sincronizado.
Abono automático de usuario
Lista de grupos a los que se agrega automáticamente un usuario sincronizado.
Asignación de propiedades de usuario
Definición de asignación de listas de propiedades locales a partir de propiedades externas.
Prefijo de ruta de usuario
Prefijo de ruta utilizado al crear usuarios.
Caducidad de abono de usuario
Tiempo después del cual caduca la membresía.
Profundidad de anidación de pertenencia a usuario
Devuelve la profundidad máxima de anidamiento de grupos cuando se sincronizan las relaciones de pertenencia. Un valor de 0 deshabilita de forma efectiva la búsqueda de miembros del grupo. El valor 1 solo agrega los grupos directos de un usuario. Este valor no tiene ningún efecto cuando se sincronizan grupos individuales únicamente cuando se sincroniza una ascendencia de pertenencia de usuarios.
Tiempo de vencimiento del grupo
Duración hasta que caduque un grupo sincronizado.
Pertenencia automática al grupo
Lista de grupos a los que se agrega automáticamente un grupo sincronizado.
Asignación de propiedades de grupo
Definición de asignación de listas de propiedades locales a partir de propiedades externas.
Prefijo de ruta de grupo
Prefijo de ruta utilizado al crear grupos.

El módulo de inicio de sesión externo the-external-login-module

El módulo de inicio de sesión externo se encuentra en Módulo de inicio de sesión externo de Apache Jackrabbit Oak en la consola de administración.

NOTE
El módulo de inicio de sesión externo de Apache Jackrabbit Oak implementa las especificaciones del Servicio de autenticación y autorización de Java™ (JAAS). Oracle Para obtener más información, consulte la Guía de referencia de seguridad oficial de Java™.

Su trabajo es definir qué proveedor de identidad y controlador de sincronización utilizar, enlazando de forma eficaz los dos módulos.

Estas son las opciones de configuración disponibles:

Clasificación JAAS
Especificar la clasificación (es decir, el criterio de ordenación) de esta entrada del módulo de inicio de sesión. Las entradas se ordenan en orden descendente (es decir, las configuraciones con mayor clasificación de valores son las primeras).
Indicador de control de JAAS
Propiedad que especifica si LoginModule es REQUIRED, REQUISITE, SUFICIENT u OPTIONAL. Consulte la documentación de configuración de JAAS para obtener más información sobre el significado de estos indicadores.
Dominio JAAS
El nombre de territorio (o nombre de aplicación) con el que está registrado LoginModule. Si no se proporciona ningún nombre de dominio kerberos, LoginModule se registra con un dominio kerberos predeterminado según se ha configurado en la configuración de Felix JAAS.
Nombre del proveedor de identidad
Nombre del proveedor de identidad.
Nombre del controlador de sincronización
Nombre del controlador de sincronización.
NOTE
AEM Si planea tener más de una configuración LDAP con la instancia de la instancia de, se deben crear proveedores de identidad y controladores de sincronización independientes para cada configuración.

Configuración de LDAP sobre SSL configure-ldap-over-ssl

AEM Se puede configurar 6 para que se autentique con LDAP a través de SSL siguiendo el siguiente procedimiento:

  1. Marque las casillas de verificación Usar SSL o Usar TLS al configurar el proveedor de identidad LDAP.

  2. Configure el controlador de sincronización y el módulo de inicio de sesión externo según la configuración.

  3. Instale los certificados SSL en la VM de Java™ si es necesario. Esta instalación se puede realizar utilizando keytool:

    keytool -import -alias localCA -file <certificate location> -keystore <keystore location>

  4. Pruebe la conexión con el servidor LDAP.

Creación de certificados SSL creating-ssl-certificates

AEM Los certificados autofirmados se pueden utilizar al configurar los certificados para que se autentiquen con LDAP a través de SSL. AEM A continuación se muestra un ejemplo de un procedimiento de trabajo para generar certificados para su uso con la.

  1. Asegúrese de tener una biblioteca SSL instalada y en funcionamiento. Este procedimiento utiliza OpenSSL como ejemplo.

  2. Cree un archivo de configuración OpenSSL (cnf) personalizado. Esta configuración se puede realizar copiando el archivo de configuración openssl.cnf ​ predeterminado y personalizándolo. En sistemas UNIX®, se encuentra en /usr/lib/ssl/openssl.cnf

  3. Continúe creando la clave raíz de la CA ejecutando el siguiente comando en un terminal:

    code language-none
    openssl genpkey -algorithm [public key algorithm] -out certificatefile.key -pkeyopt [public key algorithm option]
    
  4. A continuación, cree un certificado autofirmado:

    openssl req -new -x509 -days [number of days for certification] -key certificatefile.key -out root-ca.crt -config CA/openssl.cnf

  5. Para asegurarse de que todo está en orden, inspeccione el certificado recién generado:

    openssl x509 -noout -text -in root-ca.crt

  6. Asegúrese de que existen todas las carpetas especificadas en el archivo de configuración de certificado (.cnf). Si no es así, créelos.

  7. Cree una semilla aleatoria ejecutando, por ejemplo:

    openssl rand -out private/.rand 8192

  8. Mueva los archivos .pem creados a las ubicaciones configuradas en el archivo .cnf.

  9. Finalmente, agregue el certificado al repositorio de claves Java™.

Habilitar el registro de depuración enabling-debug-logging

El registro de depuración se puede habilitar tanto para el proveedor de identidad LDAP como para el módulo de inicio de sesión externo para solucionar los problemas de conexión.

Para habilitar el registro de depuración, debe hacer lo siguiente:

  1. Vaya a la consola de administración web.
  2. Busque "Configuración del registrador de Apache Sling" y cree dos registradores con las siguientes opciones:
  • Nivel de registro: depuración

  • Archivo de registro logs/ldap.log

  • Patrón de mensaje: {0,date,dd.MM.yyyy HH:mm:ss.SSS *{4}* {2}

  • Registrador: org.apache.jackrabbit.oak.security.authentication.ldap

  • Nivel de registro: depuración

  • Archivo de registro: logs/external.log

  • Patrón de mensaje: {0,date,dd.MM.yyyy HH:mm:ss.SSS *{4}* {2}

  • Registrador: org.apache.jackrabbit.oak.spi.security.authentication.external

Una palabra sobre afiliación grupal a-word-on-group-affiliation

AEM Los usuarios sincronizados a través de LDAP pueden formar parte de diferentes grupos en el espacio de trabajo de. AEM Estos grupos pueden ser grupos LDAP externos que se agregan a los grupos como parte del proceso de sincronización. Sin embargo, también pueden ser grupos que se agregan por separado y que no forman parte del esquema de afiliación de grupo LDAP original.

AEM Por lo general, estos grupos los agrega un administrador local del servicio de identidad o cualquier otro proveedor de identidad.

AEM Si se elimina un usuario de un grupo en el servidor LDAP, el cambio se refleja en el lado del usuario en el que se realiza la sincronización, en el que se realiza la sincronización de los datos de forma predeterminada, se produce un cambio en el lado del usuario. Sin embargo, todas las demás afiliaciones de grupo del usuario que no fueron agregadas por LDAP permanecen en su lugar.

AEM y administra la depuración de usuarios de grupos externos mediante la propiedad rep:externalId. Esta propiedad se agrega automáticamente a cualquier usuario o grupo sincronizado por el controlador de sincronización y contiene información sobre el proveedor de identidad de origen.

Consulte la documentación de Apache Oak sobre la Sincronización de usuarios y grupos.

Problemas conocidos known-issues

Si planea utilizar LDAP sobre SSL, asegúrese de que los certificados que está utilizando se crean sin la opción de comentario Netscape. Si esta opción está habilitada, la autenticación falla con un error de protocolo de enlace SSL.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2