Échec de l’authentification LDAP avec erreur de délai d’expiration | AEM Oak
Résolution des problèmes empêchant les utilisateurs LDAP de se connecter, assurant un accès et une sécurité utilisateur fluides. Pour corriger l'erreur, déboguez la connexion d'AEM au serveur LDAP.
Description description
Environnement
Adobe Experience Manager
Problème/Symptômes
Après la configuration de l'authentification LDAP via AEM, il ne permet pas aux utilisateurs LDAP de se connecter. Le message de journal suivant s’affiche :
Caused by: org.apache.directory.api.ldap.model.exception.LdapException: TimeOut occurred
at org.apache.directory.ldap.client.api.LdapNetworkConnection.writeRequest(LdapNetworkConnection.java:4106)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bindAsync(LdapNetworkConnection.java:1290)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bind(LdapNetworkConnection.java:1188)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:127)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:112)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.bindConnection(DefaultLdapConnectionFactory.java:64)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.newLdapConnection(DefaultLdapConnectionFactory.java:107)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:133)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:59)
at org.apache.commons.pool.impl.GenericObjectPool.borrowObject(GenericObjectPool.java:1188)
at org.apache.directory.ldap.client.api.LdapConnectionPool.getConnection(LdapConnectionPool.java:123)
at org.apache.jackrabbit.oak.security.authentication.ldap.impl.LdapIdentityProvider.connect(LdapIdentityProvider.java:771)
... 57 common frames omitted
Résolution resolution
Pour résoudre ce problème, vous devez déboguer la connexion d’AEM au serveur LDAP. Voici quelques éléments à vérifier :
-
Vérifiez que le serveur LDAP est accessible à partir d’autres machines que le serveur AEM à l’aide d’un navigateur LDAP tel que JXplorer. S’il n’est pas accessible, il se peut qu’il soit en panne ou qu’il y ait un problème de réseau ou de pare-feu. Contactez votre équipe des opérations réseau et l’équipe qui gère vos serveurs LDAP pour enquêter.
-
Si le serveur LDAP est accessible à partir d’autres machines, testez-le à partir du système d’exploitation du serveur AEM. Installez un client LDAP sur le système d'exploitation AEM serveur et essayez d'accéder au serveur LDAP à partir de celui-ci. Sous Linux, vous pouvez utiliser la commande ldapsearch . Sous Windows, utilisez JXplorer.
-
Si le serveur peut accéder au serveur LDAP mais que AEM connexion basée sur LDAP échoue, nous devons vérifier la configuration LDAP Identity Provider. Connectez-vous à la console web OSGi (https://aem-host:port/system/console/configMgr) et recherchez Apache Jackrabbit Oak LDAP Identity Provider. Certaines choses que vous pouvez essayer peuvent résoudre le problème :
- Réglez avec précision le User base DN, le User extra filter, le Group base DN et le Group extra filter pour que le filtre de recherche ne renvoie que les utilisateurs et les groupes concernés à AEM.
- Assurez-vous que les DN de liaison et Mot de passe de liaison sont corrects.
- Décochez la recherche du pool d'administrateurs lors de la validation et la recherche du pool d'utilisateurs lors de la validation.
- Augmentez le Délai de recherche.
Capture d'écran de la configuration du fournisseur d'identité LDAP :
-
Dans le cas de la plupart des clients d’entreprise, LDAP est souvent équilibré en charge. Vous pouvez également rencontrer ce problème si l’équilibreur de charge situé devant les serveurs LDAP a placé sur la liste bloquée votre adresse IP de serveur AEM pour une raison quelconque. Si ce problème se produit, contactez l’équipe LDAP pour résoudre ce problème. Pour un test rapide, vous pouvez appuyer directement sur l’adresse IP du serveur LDAP en contournant l’équilibreur de charge LDAP pour voir si l’authentification LDAP dans AEM est réussie.
Cause
L’erreur de délai d’expiration indique généralement que le serveur LDAP est inaccessible par AEM en raison d’un pare-feu, d’un problème réseau ou qu’il est hors service ou qu’il ne répond pas.