Configurazione di LDAP con AEM 6 configuring-ldap-with-aem

LDAP (il L protocollo D directory A accesso P protocollo) viene utilizzato per accedere ai servizi di directory centralizzati. Consente di ridurre lo sforzo necessario per gestire gli account utente in quanto sono accessibili da più applicazioni. Uno di questi server LDAP è Active Directory. LDAP viene spesso utilizzato per ottenere Single Sign-On che consente a un utente di accedere a più applicazioni dopo l'accesso una sola volta.

Gli account utente possono essere sincronizzati tra il server LDAP e il repository, con i dettagli dell'account LDAP salvati nel repository. Questa funzionalità consente di assegnare gli account ai gruppi del repository per l'allocazione delle autorizzazioni e dei privilegi richiesti.

Il repository utilizza l'autenticazione LDAP per autenticare tali utenti, con le credenziali passate al server LDAP per la convalida, necessaria prima di consentire l'accesso al repository. Per migliorare le prestazioni, le credenziali convalidate correttamente possono essere memorizzate nella cache dall’archivio, con un timeout di scadenza per garantire che la riconvalida avvenga dopo un periodo di tempo appropriato.

Quando un account viene rimosso dal server LDAP, la convalida non viene più concessa e l’accesso all’archivio viene negato. È inoltre possibile eliminare i dettagli degli account LDAP salvati nell’archivio.

L’utilizzo di tali account è trasparente per i tuoi utenti. In altre parole, non vedono alcuna differenza tra gli account utente e di gruppo creati da LDAP e gli account creati esclusivamente nell’archivio.

In AEM 6, il supporto LDAP viene fornito con una nuova implementazione che richiede un tipo di configurazione diverso rispetto alle versioni precedenti.

Tutte le configurazioni LDAP sono ora disponibili come configurazioni OSGi. Possono essere configurati tramite la console Gestione web all’indirizzo:
https://serveraddress:4502/system/console/configMgr

Affinché LDAP funzioni con AEM, devi creare tre configurazioni OSGi:

  1. Provider di identità LDAP (IDP).
  2. Gestore di sincronizzazione.
  3. Un Modulo Di Accesso Esterno.
NOTE
Guarda il modulo di accesso esterno di Oak - Autenticazione con LDAP e versioni successive per approfondire i moduli di accesso esterno.
Per leggere un Experience Manager di configurazione di Apache DS, vedere Configurazione di Adobe Experience Manager 6.5 per l'utilizzo del servizio directory Apache.

Configurazione Del Provider Di Identità LDAP configuring-the-ldap-identity-provider

Il provider di identità LDAP viene utilizzato per definire la modalità di recupero degli utenti dal server LDAP.

È disponibile nella console di gestione con il nome Apache Jackrabbit Oak LDAP Identity Provider.

Per il provider di identità LDAP sono disponibili le seguenti opzioni di configurazione:

Nome provider LDAP
Nome della configurazione del provider LDAP.
Nome host server LDAP
Nome host del server LDAP
Porta server LDAP
Porta del server LDAP
Usa SSL
Indica se deve essere utilizzata una connessione SSL (LDAP).
Usa TLS
Indica se TLS deve essere avviato sulle connessioni.
Disattiva verifica certificati
Indica se la convalida del certificato del server deve essere disabilitata.
Associa DN
DN dell'utente per l'autenticazione. Se questo campo viene lasciato vuoto, viene eseguito un binding anonimo.
Password binding
Password dell’utente per l’autenticazione
Timeout ricerca
Tempo fino al timeout di una ricerca
Massimo pool di amministrazione attivo
Dimensione massima attiva del pool di connessioni amministratore.
Max. pool utenti attivo
Dimensione massima attiva del pool di connessioni utente.
DN base utente
DN per le ricerche utente
Classi oggetto utente
L'elenco delle classi oggetto che una voce utente deve contenere.
Attributo ID utente
Nome dell’attributo che contiene l’ID utente.
Filtro aggiuntivo utente
Filtro LDAP aggiuntivo da utilizzare per la ricerca di utenti. Il filtro finale è formattato nel modo seguente: '(&(<idAttr>=<userId>)(objectclass=<objectclass>)<extraFilter>)' (user.extraFilter)
Percorsi DN utente
Controlla se il DN deve essere utilizzato per calcolare una porzione del percorso intermedio.
DN base gruppo
DN di base per le ricerche di gruppi.
Raggruppa classi oggetto
L'elenco delle classi oggetto che una voce del gruppo deve contenere.
Attributo nome gruppo
Nome dell'attributo che contiene il nome del gruppo.
Filtro aggiuntivo gruppo
Filtro LDAP aggiuntivo da utilizzare per la ricerca di gruppi. Il filtro finale è formattato nel modo seguente: '(&(<nameAttr>=<groupName>)(objectclass=<objectclass>)<extraFilter>)'
Raggruppa percorsi DN
Controlla se il DN deve essere utilizzato per calcolare una porzione del percorso intermedio.
Attributo membro gruppo
Attributo gruppo contenente uno o più membri di un gruppo.

Configurazione Del Gestore Di Sincronizzazione configuring-the-synchronization-handler

Il gestore di sincronizzazione definisce il modo in cui gli utenti e i gruppi del provider di identità vengono sincronizzati con il repository.

Si trova sotto il nome Apache Jackrabbit Oak Default Sync Handler nella console di gestione.

Per il gestore di sincronizzazione sono disponibili le seguenti opzioni di configurazione:

Nome gestore di sincronizzazione
Nome della configurazione di sincronizzazione.
Tempo di scadenza utente
Durata della scadenza di un utente sincronizzato.
Iscrizione automatica utente
Elenco di gruppi a cui viene aggiunto automaticamente un utente sincronizzato.
Mappatura proprietà utente
Definizione di mapping elenco di proprietà locali da quelle esterne.
Prefisso percorso utente
Prefisso del percorso utilizzato per la creazione degli utenti.
Scadenza appartenenza utente
Ora dopo la scadenza dell'appartenenza.
Profondità di nidificazione appartenenza utente
Restituisce la profondità massima della nidificazione dei gruppi quando le relazioni di appartenenza vengono sincronizzate. Un valore pari a 0 disattiva efficacemente la ricerca di appartenenza al gruppo. Il valore 1 aggiunge solo i gruppi diretti di un utente. Questo valore non ha alcun effetto quando si sincronizzano singoli gruppi solo durante la sincronizzazione di un elemento precedente di appartenenza degli utenti.
Ora scadenza gruppo
Durata fino alla scadenza di un gruppo sincronizzato.
Iscrizione automatica gruppo
Elenco di gruppi a cui viene aggiunto automaticamente un gruppo sincronizzato.
Mappatura proprietà gruppo
Definizione di mapping elenco di proprietà locali da quelle esterne.
Prefisso percorso gruppo
Prefisso del percorso utilizzato per la creazione di gruppi.

Modulo di accesso esterno the-external-login-module

Il modulo di accesso esterno si trova sotto il Modulo di accesso esterno Apache Jackrabbit Oak nella console di gestione.

NOTE
Il modulo di accesso esterno Apache Jackrabbit Oak implementa le specifiche Java™ Authentication and Authorization Servi (JAAS). Per ulteriori informazioni, consultare la Guida di riferimento ufficiale per la sicurezza Java™ Oracle.

Il suo lavoro consiste nel definire quale provider di identità e gestore di sincronizzazione utilizzare, associando in modo efficace i due moduli.

Sono disponibili le seguenti opzioni di configurazione:

Classifica JAAS
Specifica la classificazione (ovvero l’ordinamento) di questa voce del modulo di accesso. Le voci sono ordinate in ordine decrescente (ovvero, le configurazioni con classificazione di valori più elevati vengono per prime).
Flag di controllo JAAS
Proprietà che specifica se LoginModule è REQUIRED, REQUIITE, SUFFICIENT o OPTIONAL. Per ulteriori informazioni sul significato di questi flag, consulta la documentazione sulla configurazione JAAS.
Area di autenticazione JAAS
Il nome dell'area di autenticazione (o nome dell'applicazione) con cui è registrato LoginModule. Se non viene fornito alcun nome di area di autenticazione, LoginModule viene registrato con un'area di autenticazione predefinita come configurato nella configurazione Felix JAAS.
Nome provider identità
Nome del provider di identità.
Nome gestore sincronizzazione
Nome del gestore di sincronizzazione.
NOTE
Se si prevede di avere più configurazioni LDAP con l'istanza AEM, è necessario creare provider di identità e gestori di sincronizzazione separati per ogni configurazione.

Configurare LDAP su SSL configure-ldap-over-ssl

AEM 6 può essere configurato per l’autenticazione con LDAP tramite SSL seguendo la procedura seguente:

  1. Selezionare le caselle di controllo Usa SSL o Usa TLS durante la configurazione del provider di identità LDAP.

  2. Configura il gestore di sincronizzazione e il modulo di accesso esterno in base alla configurazione.

  3. Se necessario, installa i certificati SSL nella tua Java™ VM. Questa installazione può essere eseguita utilizzando lo strumento chiave:

    keytool -import -alias localCA -file <certificate location> -keystore <keystore location>

  4. Verificare la connessione al server LDAP.

Creazione di certificati SSL creating-ssl-certificates

I certificati autofirmati possono essere utilizzati durante la configurazione dell’AEM per l’autenticazione con LDAP tramite SSL. Di seguito è riportato un esempio di procedura operativa per la generazione di certificati da utilizzare con l’AEM.

  1. Assicurati di avere una libreria SSL installata e funzionante. Questa procedura utilizza OpenSSL come esempio.

  2. Crea un file di configurazione OpenSSL (cnf) personalizzato. Questa configurazione può essere eseguita copiando il file di configurazione openssl.cnf ​ predefinito e personalizzandolo. Sui sistemi UNIX®, si trova in /usr/lib/ssl/openssl.cnf

  3. Procedi alla creazione della chiave radice CA eseguendo il comando seguente in un terminale:

    code language-none
    openssl genpkey -algorithm [public key algorithm] -out certificatefile.key -pkeyopt [public key algorithm option]
    
  4. Quindi, crea un certificato autofirmato:

    openssl req -new -x509 -days [number of days for certification] -key certificatefile.key -out root-ca.crt -config CA/openssl.cnf

  5. Per verificare che tutto sia a posto, controlla il certificato appena generato:

    openssl x509 -noout -text -in root-ca.crt

  6. Verifica che siano presenti tutte le cartelle specificate nel file di configurazione del certificato (con estensione cnf). In caso contrario, creale.

  7. Crea un valore di inizializzazione casuale eseguendo, ad esempio:

    openssl rand -out private/.rand 8192

  8. Spostare i file con estensione pem creati nelle posizioni configurate nel file con estensione cnf.

  9. Aggiungi infine il certificato al keystore Java™.

Abilitazione registrazione debug enabling-debug-logging

Per risolvere i problemi di connessione, è possibile abilitare la registrazione di debug sia per il provider di identità LDAP che per il modulo di accesso esterno.

Per abilitare la registrazione di debug, è necessario effettuare le seguenti operazioni:

  1. Passa a Web Management Console.
  2. Trova "Apache Sling Logging Logger Configuration" e crea due logger con le seguenti opzioni:
  • Livello registro: debug

  • File di registro logs/ldap.log

  • Schema messaggio: {0,date,dd.MM.yyyy HH:mm:ss.SSS} *{4}* {2}

  • Logger: org.apache.jackrabbit.oak.security.authentication.ldap

  • Livello registro: debug

  • File di registro: logs/external.log

  • Schema messaggio: {0,date,dd.MM.yyyy HH:mm:ss.SSS} *{4}* {2}

  • Logger: org.apache.jackrabbit.oak.spi.security.authentication.external

Una parola sull'affiliazione di gruppo a-word-on-group-affiliation

Gli utenti sincronizzati tramite LDAP possono far parte di diversi gruppi in AEM. Questi gruppi possono essere gruppi LDAP esterni che vengono aggiunti all'AEM come parte del processo di sincronizzazione. Tuttavia, possono anche essere gruppi aggiunti separatamente e non fanno parte dello schema di affiliazione al gruppo LDAP originale.

Di solito, questi gruppi vengono aggiunti da un amministratore AEM locale o da qualsiasi altro provider di identità.

Se un utente viene rimosso da un gruppo sul server LDAP, la modifica si riflette sul lato AEM durante la sincronizzazione. Tuttavia, tutte le altre affiliazioni di gruppo dell’utente che non sono state aggiunte da LDAP rimangono attive.

AEM rileva e gestisce la rimozione di utenti da gruppi esterni utilizzando la proprietà rep:externalId. Questa proprietà viene aggiunta automaticamente a qualsiasi utente o gruppo sincronizzato dal gestore di sincronizzazione e contiene informazioni sul provider di identità di origine.

Consulta la documentazione di Apache Oak sulla sincronizzazione utenti e gruppi.

Problemi noti known-issues

Se si prevede di utilizzare LDAP su SSL, assicurarsi che i certificati utilizzati vengano creati senza l'opzione di commento Netscape. Se questa opzione è abilitata, l’autenticazione non riesce e viene restituito un errore di handshake SSL.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2