Errore di autenticazione LDAP con timeout | AEM Oak
Questo articolo descrive come risolvere i problemi che impediscono agli utenti LDAP di effettuare l'accesso, garantendo l'accesso e la sicurezza degli utenti. Per correggere l’errore, esegui il debug della connessione da AEM al server LDAP.
Descrizione description
Ambiente
Adobe Experience Manager 6.5
Problema/Sintomi
Dopo aver configurato l'autenticazione LDAP tramite AEM, non consente agli utenti LDAP di accedere. Viene visualizzato il seguente messaggio di registro:
Caused by: org.apache.directory.api.ldap.model.exception.LdapException: TimeOut occurred
at org.apache.directory.ldap.client.api.LdapNetworkConnection.writeRequest(LdapNetworkConnection.java:4106)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bindAsync(LdapNetworkConnection.java:1290)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bind(LdapNetworkConnection.java:1188)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:127)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:112)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.bindConnection(DefaultLdapConnectionFactory.java:64)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.newLdapConnection(DefaultLdapConnectionFactory.java:107)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:133)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:59)
at org.apache.commons.pool.impl.GenericObjectPool.borrowObject(GenericObjectPool.java:1188)
at org.apache.directory.ldap.client.api.LdapConnectionPool.getConnection(LdapConnectionPool.java:123)
at org.apache.jackrabbit.oak.security.authentication.ldap.impl.LdapIdentityProvider.connect(LdapIdentityProvider.java:771)
... 57 common frames omitted
Risoluzione resolution
È necessario eseguire il debug della connessione da AEM al server LDAP. Di seguito sono riportati alcuni elementi da verificare:
-
Verificare che il server LDAP sia accessibile da computer diversi dal server AEM utilizzando un browser LDAP come JXplorer. Se non è accessibile, potrebbe non essere disponibile o potrebbe essersi verificato un problema di rete o firewall. Contattare il team che gestisce le operazioni di rete e il team che gestisce i server LDAP per eseguire l'analisi.
-
Se il server LDAP è accessibile da altri computer, eseguire il test dal sistema operativo del server AEM. Installa un client LDAP sul sistema operativo del server AEM e prova ad accedere al server LDAP da lì. In Linux è possibile utilizzare il comando ldapsearch. In Windows, utilizza JXplorer.
-
Se il server può raggiungere il server LDAP ma l'accesso basato su LDAP di AEM non riesce, è necessario controllare la configurazione del provider di identità LDAP. Accedi alla console Web OSGi (https://aem-host:port/system/console/configMgr) e cerca Provider identità LDAP Apache Jackrabbit Oak. Puoi provare a risolvere alcuni problemi:
- Ottimizzare il DN base utente, Filtro aggiuntivo utente, DN base gruppo e Filtro aggiuntivo gruppo per fare in modo che il filtro di ricerca restituisca solo gli utenti e i gruppi rilevanti ad AEM.
- Assicurarsi che Bind DN e Bind password siano corretti.
- Deseleziona Ricerca nel pool di amministrazione alla convalida e Ricerca nel pool di utenti alla convalida.
- Aumenta il Timeout di ricerca.
Schermata della configurazione del provider di identità LDAP:
-
Nel caso della maggior parte dei clienti aziendali, LDAP è spesso bilanciato in termini di carico. Potresti riscontrare questo problema anche se il load balancer che si trova di fronte ai server LDAP ha inserito in blacklist l’IP del server AEM per qualche motivo. Se si verifica questo problema, coinvolgere il team LDAP per risolverlo. Come test rapido, potresti voler raggiungere l’IP del server LDAP direttamente bypassando il load balancer LDAP per verificare se l’autenticazione LDAP in AEM ha esito positivo.
Causa
L’errore di timeout in genere indica che il server LDAP non è raggiungibile da AEM a causa di un firewall, un problema di rete, oppure è inattivo o non risponde.