Configurazione di LDAP con AEM 6 configuring-ldap-with-aem

CAUTION
AEM 6.4 ha raggiunto la fine del supporto esteso e questa documentazione non viene più aggiornata. Per maggiori dettagli, consulta la nostra periodi di assistenza tecnica. Trova le versioni supportate qui.

LDAP (il L poco D rettorio A accesso P(protocollo) viene utilizzato per accedere ai servizi centralizzati di directory. Questo consente di ridurre lo sforzo necessario per gestire gli account utente in quanto è possibile accedervi da più applicazioni. Uno di questi server LDAP è Active Directory. LDAP viene spesso utilizzato per ottenere Single Sign-On che consente a un utente di accedere a più applicazioni dopo l'accesso una volta.

Gli account utente possono essere sincronizzati tra il server LDAP e l'archivio, con i dettagli dell'account LDAP che vengono salvati nell'archivio. Questo consente di assegnare gli account ai gruppi di repository per l'allocazione delle autorizzazioni e dei privilegi richiesti.

L'archivio utilizza l'autenticazione LDAP per autenticare tali utenti, con le credenziali trasmesse al server LDAP per la convalida, che è necessaria prima di consentire l'accesso all'archivio. Per migliorare le prestazioni, le credenziali convalidate correttamente possono essere memorizzate nella cache dell’archivio, con un timeout di scadenza per garantire che la riconvalida si verifichi dopo un periodo appropriato.

Quando un account viene rimosso dalla convalida del server LDAP non viene più concesso e viene quindi negato l'accesso all'archivio. È inoltre possibile eliminare i dettagli degli account LDAP salvati nell'archivio.

L'utilizzo di tali account è trasparente per gli utenti, non vedono alcuna differenza tra gli account utente e di gruppo creati da LDAP e quelli creati esclusivamente nell'archivio.

Nel AEM 6, il supporto LDAP viene fornito con una nuova implementazione che richiede un tipo di configurazione diverso rispetto alle versioni precedenti.

Tutte le configurazioni LDAP sono ora disponibili come configurazioni OSGi. Possono essere configurati tramite la console di gestione web all’indirizzo:
https://serveraddress:4502/system/console/configMgr

Per far funzionare LDAP con AEM, è necessario creare tre configurazioni OSGi:

  1. Un provider di identità LDAP (IDP).
  2. Un Gestore Di Sincronizzazione.
  3. Un Modulo Di Accesso Esterno.
NOTE
Guarda [Modulo di accesso esterno Oak - Autenticazione con LDAP e oltre]https://experienceleague.adobe.com/docs/experience-manager-gems-events/gems/gems2015/aem-oak-external-login-module-authenticating-with-ldap-and-beyond.html?lang=it) per immergere in profondità i moduli di accesso esterni.
Per leggere un esempio di configurazione di Experience Manager con Apache DS, vedi Configurazione di Adobe Experience Manager 6.4 per l’utilizzo del servizio directory Apache.

Configurazione del provider di identità LDAP configuring-the-ldap-identity-provider

Il provider di identità LDAP viene utilizzato per definire come gli utenti vengono recuperati dal server LDAP.

È disponibile nella console di gestione nella sezione Provider di identità LDAP Apache Jackrabbit Oak nome.

Per il provider di identità LDAP sono disponibili le seguenti opzioni di configurazione:

Nome provider LDAP
Nome della configurazione del provider LDAP.
Nome host server LDAP
Nome host del server LDAP
Porta server LDAP
Porta del server LDAP
Usa SSL
Indica se utilizzare una connessione SSL (LDAP).
Usa TLS
Indica se TLS deve essere avviato sulle connessioni.
Disattiva controllo certificati
Indica se la convalida del certificato del server deve essere disabilitata.
DN di associazione
DN dell'utente per l'autenticazione. Se questo campo viene lasciato vuoto, verrà eseguito un binding anonimo.
Password binding
Password dell'utente per l'autenticazione
Timeout ricerca
Tempo di timeout della ricerca
Massimo del pool di amministratori attivo
Dimensione massima attiva del pool di connessioni amministratore.
Massimo del pool di utenti attivo
Dimensione massima attiva del pool di connessioni utente.
DN base utente
DN per ricerche utente
Classi di oggetti utente
L'elenco delle classi oggetto che una voce utente deve contenere.
Attributo ID utente
Nome dell'attributo contenente l'ID utente.
Filtro extra utente
Filtro LDAP aggiuntivo da utilizzare per la ricerca di utenti. Il filtro finale viene formattato come segue: '(&()<idattr>=<userid>)(objectclass=<objectclass>)<extrafilter>)' (user.extraFilter)
Percorsi DN utente
Controlla se il DN deve essere utilizzato per calcolare una parte del percorso intermedio.
DN base gruppo
DN di base per ricerche di gruppi.
Classi oggetto gruppo
L'elenco delle classi oggetto che una voce di gruppo deve contenere.
Attributo nome gruppo
Nome dell'attributo contenente il nome del gruppo.
Raggruppa filtro aggiuntivo
Filtro LDAP aggiuntivo da utilizzare per la ricerca di gruppi. Il filtro finale è formattato come: '(&()<nameattr>=<groupname>)(objectclass=<objectclass>)<extrafilter>)"
Percorsi DN di gruppo
Controlla se il DN deve essere utilizzato per calcolare una parte del percorso intermedio.
Attributo membro del gruppo
Attributo di gruppo che contiene i membri di un gruppo.

Configurazione Del Gestore Di Sincronizzazione configuring-the-synchronization-handler

Il gestore di sincronizzazione definirà la modalità di sincronizzazione degli utenti e dei gruppi del provider di identità con il repository.

Si trova sotto la Apache Jackrabbit Oak Default Sync Handler nella console di gestione.

Per il gestore di sincronizzazione sono disponibili le seguenti opzioni di configurazione:

Nome del gestore di sincronizzazione
Nome della configurazione di sincronizzazione.
Ora di scadenza utente
Durata fino alla scadenza di un utente sincronizzato.
Iscrizione automatica utente
Elenco di gruppi a cui viene aggiunto automaticamente un utente sincronizzato.
Mappatura proprietà utente
Definizione di mappatura elenco delle proprietà locali da quelle esterne.
Prefisso percorso utente
Prefisso del percorso utilizzato per la creazione di nuovi utenti.
Scadenza iscrizione utente
Tempo dopo la scadenza dell'iscrizione.
Profondità di nidificazione dell'iscrizione dell'utente
Restituisce la profondità massima della nidificazione del gruppo quando le relazioni di appartenenza vengono sincronizzate. Il valore 0 disabilita efficacemente la ricerca di appartenenza al gruppo. Il valore 1 aggiunge solo i gruppi diretti di un utente. Questo valore non ha alcun effetto quando si sincronizzano singoli gruppi solo quando si sincronizzano gli antenati di un'appartenenza utente.
Ora di scadenza del gruppo
Durata fino alla scadenza di un gruppo sincronizzato.
Iscrizione automatica al gruppo
Elenco di gruppi a cui viene aggiunto automaticamente un gruppo sincronizzato.
Mappatura delle proprietà del gruppo
Definizione di mappatura elenco delle proprietà locali da quelle esterne.
Prefisso percorso gruppo
Prefisso percorso utilizzato per la creazione di nuovi gruppi.

Modulo di accesso esterno the-external-login-module

Il modulo di accesso esterno si trova sotto la Modulo di accesso esterno Apache Jackrabbit Oak nella console di gestione.

NOTE
Il modulo di accesso esterno Apache Jackrabbit Oak implementa le specifiche Java Authentication and Authorization Servi (JAAS) . Consulta la sezione guida ufficiale di riferimento per la sicurezza Java di Oracle per ulteriori informazioni.

Il suo compito è quello di definire il provider di identità e il gestore di sincronizzazione da utilizzare, legando in modo efficace i due moduli.

Sono disponibili le seguenti opzioni di configurazione:

Classifica JAAS
Specifica della classificazione (cioè l’ordine di ordinamento) della voce del modulo di accesso. Le voci vengono ordinate in ordine decrescente (ad esempio, le configurazioni con ranking maggiore vengono prima).
Flag di controllo JAAS
Proprietà che specifica se un LoginModule è OBBLIGATORIO, OBBLIGATORIO, SUFFICIENTE o FACOLTATIVO.Per ulteriori informazioni sul significato di questi flag, fare riferimento alla documentazione di configurazione JAAS.
Realm JAAS
Nome dell'area di autenticazione (o nome dell'applicazione) rispetto al quale viene registrato il modulo di accesso. Se non viene fornito alcun nome di realm, LoginModule viene registrato con un realm predefinito come configurato nella configurazione Felix JAAS.
Nome del provider di identità
Nome del provider di identità.
Nome del gestore di sincronizzazione
Nome del gestore di sincronizzazione.
NOTE
Se prevedi di avere più di una configurazione LDAP con la tua istanza AEM, per ogni configurazione devono essere creati provider di identità e gestori di sincronizzazione separati.

Configurare LDAP su SSL configure-ldap-over-ssl

AEM 6 può essere configurato per l'autenticazione con LDAP su SSL seguendo la procedura seguente:

  1. Controlla la Usa SSL o Usa TLS caselle di controllo durante la configurazione Provider di identità LDAP.

  2. Configura il gestore di sincronizzazione e il modulo di accesso esterno in base alla configurazione.

  3. Se necessario, installa i certificati SSL nella macchina virtuale Java. Questo può essere fatto utilizzando keytool:

    keytool -import -alias localCA -file <certificate location> -keystore <keystore location>

  4. Verifica la connessione al server LDAP.

Creazione di certificati SSL creating-ssl-certificates

I certificati autofirmati possono essere utilizzati durante la configurazione di AEM per l'autenticazione con LDAP tramite SSL. Di seguito è riportato un esempio di procedura di lavoro per la generazione di certificati da utilizzare con AEM.

  1. Assicurati di avere una libreria SSL installata e funzionante. Questa procedura utilizza OpenSSL come esempio.

  2. Crea un file di configurazione OpenSSL personalizzato (cnf). Questo può essere fatto copiando il file di configurazione openssl.cnf ​ predefinito e personalizzandolo. Nei sistemi UNIX, si trova in genere in /usr/lib/ssl/openssl.cnf

  3. Procedi alla creazione della chiave radice CA eseguendo il comando sottostante in un terminale:

    code language-none
    openssl genpkey -algorithm [public key algorithm] -out certificatefile.key -pkeyopt [public key algorithm option]
    
  4. Quindi, crea un nuovo certificato autofirmato:

    openssl req -new -x509 -days [number of days for certification] -key certificatefile.key -out root-ca.crt -config CA/openssl.cnf

  5. Inspect è il certificato appena generato per essere sicuro che tutto sia in ordine:

    openssl x509 -noout -text -in root-ca.crt

  6. Assicurati che siano presenti tutte le cartelle specificate nel file di configurazione del certificato (.cnf). In caso contrario, creale.

  7. Crea un seed casuale, eseguendo, ad esempio:

    openssl rand -out private/.rand 8192

  8. Sposta i file .pem creati nelle posizioni configurate nel file .cnf .

  9. Infine, aggiungi il certificato al keystore Java.

Abilitazione della registrazione di debug enabling-debug-logging

Per risolvere i problemi di connessione, è possibile abilitare la registrazione di debug sia per il provider di identità LDAP che per il modulo di accesso esterno.

Per abilitare la registrazione di debug, è necessario:

  1. Passa alla console di gestione Web.
  2. Trova "Apache Sling Logging Logger Configuration" e crea due logger con le seguenti opzioni:
  • Livello di log: Debug

  • File di log logs/ldap.log

  • Pattern messaggio: {0,data,dd.MM.yyyy HHs.SSS} *{4}* {2}

  • Logger: org.apache.jackrabbit.oak.security.authentication.ldap

  • Livello di log: Debug

  • File di log: logs/external.log

  • Pattern messaggio: {0,data,dd.MM.yyyy HHs.SSS} *{4}* {2}

  • Logger: org.apache.jackrabbit.oak.spi.security.authentication.external

Parola sull'affiliazione al gruppo a-word-on-group-affiliation

Gli utenti sincronizzati tramite LDAP possono far parte di diversi gruppi in AEM. Questi gruppi possono essere gruppi LDAP esterni che verranno aggiunti a AEM come parte del processo di sincronizzazione, ma possono anche essere gruppi che vengono aggiunti separatamente e non fanno parte dello schema di affiliazione del gruppo LDAP originale.

Nella maggior parte dei casi, possono essere gruppi aggiunti da un amministratore AEM locale o da qualsiasi altro provider di identità.

Se un utente viene rimosso da un gruppo sul server LDAP, la modifica si rifletterà anche sul lato AEM al momento della sincronizzazione. Tuttavia, tutte le altre affiliazioni di gruppo dell'utente che non sono state aggiunte da LDAP rimarranno in vigore.

AEM rileva e gestisce la rimozione degli utenti da gruppi esterni utilizzando rep:externalId proprietà. Questa proprietà viene aggiunta automaticamente a qualsiasi utente o gruppo sincronizzato dal Gestore sincronizzazione e contiene informazioni sul provider di identità di origine.

Per ulteriori informazioni, consulta la documentazione di Apache Oak su Sincronizzazione di utenti e gruppi.

Problemi noti known-issues

Se prevedi di utilizzare LDAP su SSL, assicurati che i certificati utilizzati siano creati senza l'opzione di commento Netscape. Se questa opzione è abilitata, l’autenticazione avrà esito negativo con un errore di Handshake SSL.

recommendation-more-help
5ce3024a-cbea-458b-8b2f-f9b8dda516e8