Échec de l’authentification LDAP avec l’erreur de délai d’expiration | AEM Oak
Cet article décrit la procédure à suivre pour résoudre les problèmes qui empêchent les utilisateurs LDAP de se connecter, tout en garantissant un accès utilisateur fluide et la sécurité. Pour corriger l’erreur, déboguez la connexion d’AEM au serveur LDAP.
Description description
Environnement
Adobe Experience Manager 6.5
Problème/Symptômes
Après la configuration de l’authentification LDAP via AEM, elle ne permet pas aux utilisateurs LDAP de se connecter. Le message de journal suivant s’affiche :
Caused by: org.apache.directory.api.ldap.model.exception.LdapException: TimeOut occurred
at org.apache.directory.ldap.client.api.LdapNetworkConnection.writeRequest(LdapNetworkConnection.java:4106)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bindAsync(LdapNetworkConnection.java:1290)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bind(LdapNetworkConnection.java:1188)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:127)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:112)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.bindConnection(DefaultLdapConnectionFactory.java:64)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.newLdapConnection(DefaultLdapConnectionFactory.java:107)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:133)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:59)
at org.apache.commons.pool.impl.GenericObjectPool.borrowObject(GenericObjectPool.java:1188)
at org.apache.directory.ldap.client.api.LdapConnectionPool.getConnection(LdapConnectionPool.java:123)
at org.apache.jackrabbit.oak.security.authentication.ldap.impl.LdapIdentityProvider.connect(LdapIdentityProvider.java:771)
... 57 common frames omitted
Résolution resolution
Vous devez déboguer la connexion d’AEM au serveur LDAP. Voici quelques éléments à vérifier :
-
Vérifiez que le serveur LDAP est accessible à partir d’autres machines que le serveur AEM à l’aide d’un navigateur LDAP tel que JXplorer. S’il n’est pas accessible, il est peut-être hors service ou il peut y avoir un problème de réseau ou de pare-feu. Contactez votre équipe des opérations réseau et l’équipe qui gère vos serveurs LDAP pour en savoir plus.
-
Si le serveur LDAP est accessible à partir d’autres ordinateurs, testez-le à partir du système d’exploitation du serveur AEM. Installez un client LDAP sur le système d’exploitation du serveur AEM et essayez d’accéder au serveur LDAP à partir de là. Sous Linux, vous pouvez utiliser la commande ldapsearch. Sous Windows, utilisez JXplorer.
-
Si le serveur peut atteindre le serveur LDAP, mais que la connexion LDAP d’AEM échoue, nous devons vérifier la configuration Fournisseur d’identité LDAP. Connectez-vous à la console web OSGi (https://aem-host:port/system/console/configMgr) et recherchez Fournisseur d’identité LDAP Apache Jackrabbit Oak. Voici quelques solutions susceptibles de résoudre le problème :
- Ajustez le DN de base de l’utilisateur, Filtre supplémentaire de l’utilisateur, DN de base du groupe et Filtre supplémentaire du groupe pour que le filtre de recherche renvoie uniquement les utilisateurs et les groupes pertinents à AEM.
- Assurez-vous que les DN de liaison et Mot de passe de liaison sont corrects.
- Décochez Recherche de pool d’administration lors de la validation et Recherche de pool d’utilisateurs lors de la validation.
- Augmentez le délai d’expiration de la recherche .
Capture d’écran de la configuration du fournisseur d’identité LDAP :
-
Dans le cas de la plupart des clients Grands comptes, LDAP est souvent en équilibrage de charge. Vous pouvez également être confronté à ce problème si la répartition de charge située devant les serveurs LDAP a placé sur la liste bloquée l’adresse IP de votre serveur AEM pour une raison quelconque. Si ce problème se produit, contactez l’équipe LDAP pour le résoudre. Pour un test rapide, vous pouvez accéder à l’adresse IP du serveur LDAP en contournant directement la répartition de charge LDAP pour vérifier si l’authentification LDAP dans AEM a réussi.
Cause
L’erreur de délai d’expiration indique généralement que le serveur LDAP est inatteignable par AEM en raison d’un pare-feu ou d’un problème réseau, ou qu’il est en panne ou ne répond pas.