Errore di autenticazione LDAP con timeout | AEM Oak
Risolvere i problemi e risolvere quelli che impediscono agli utenti LDAP di accedere, garantendo accesso utente e sicurezza senza problemi. Per correggere l'errore, eseguire il debug della connessione da AEM al server LDAP.
Descrizione description
Ambiente
Adobe Experience Manager
Problema/Sintomi
Dopo aver configurato l'autenticazione LDAP tramite AEM, non consente agli utenti LDAP di accedere. Viene visualizzato il seguente messaggio di registro:
Caused by: org.apache.directory.api.ldap.model.exception.LdapException: TimeOut occurred
at org.apache.directory.ldap.client.api.LdapNetworkConnection.writeRequest(LdapNetworkConnection.java:4106)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bindAsync(LdapNetworkConnection.java:1290)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bind(LdapNetworkConnection.java:1188)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:127)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:112)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.bindConnection(DefaultLdapConnectionFactory.java:64)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.newLdapConnection(DefaultLdapConnectionFactory.java:107)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:133)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:59)
at org.apache.commons.pool.impl.GenericObjectPool.borrowObject(GenericObjectPool.java:1188)
at org.apache.directory.ldap.client.api.LdapConnectionPool.getConnection(LdapConnectionPool.java:123)
at org.apache.jackrabbit.oak.security.authentication.ldap.impl.LdapIdentityProvider.connect(LdapIdentityProvider.java:771)
... 57 common frames omitted
Risoluzione resolution
Per risolvere il problema, è necessario eseguire il debug della connessione da AEM al server LDAP. Di seguito sono riportati alcuni elementi da verificare:
-
Verificare che il server LDAP sia accessibile da computer diversi dal server AEM utilizzando un browser LDAP come JXplorer. Se non è accessibile, potrebbe non essere disponibile o potrebbe essersi verificato un problema di rete o firewall. Contattare il team che gestisce le operazioni di rete e il team che gestisce i server LDAP per eseguire l'analisi.
-
Se il server LDAP è accessibile da altri computer, eseguire il test dal sistema operativo del server AEM. Installare un client LDAP nel sistema operativo del server AEM e provare ad accedere al server LDAP da tale posizione. In Linux è possibile utilizzare il comando ldapsearch. In Windows, utilizza JXplorer.
-
Se il server può raggiungere il server LDAP ma l'accesso basato su LDAP AEM non riesce, è necessario controllare la configurazione del provider di identità LDAP. Accedi alla console Web OSGi (https://aem-host:port/system/console/configMgr) e cerca Provider identità LDAP Apache Jackrabbit Oak. Puoi provare a risolvere alcuni problemi:
- Ottimizzare il DN base utente, Filtro aggiuntivo utente, DN base gruppo e Filtro aggiuntivo gruppo per fare in modo che il filtro di ricerca restituisca solo gli utenti e i gruppi rilevanti all'AEM.
- Assicurarsi che Bind DN e Bind password siano corretti.
- Deseleziona Ricerca nel pool di amministrazione alla convalida e Ricerca nel pool di utenti alla convalida.
- Aumenta il Timeout di ricerca.
Schermata della configurazione del provider di identità LDAP:
-
Nel caso della maggior parte dei clienti aziendali, LDAP è spesso bilanciato in termini di carico. È inoltre possibile riscontrare questo problema se il load balancer che si trova di fronte ai server LDAP ha inserito in blacklist l’IP del server AEM per qualche motivo. Se si verifica questo problema, coinvolgere il team LDAP per risolverlo. Come test rapido, potrebbe essere utile eseguire un hit sull’IP del server LDAP direttamente bypassando il load balancer LDAP per verificare se l’autenticazione LDAP nell’AEM è riuscita.
Causa
L’errore di timeout indica in genere che il server LDAP non è raggiungibile da AEM a causa di un firewall, un problema di rete, oppure è inattivo o non risponde.