LDAP configureren met AEM 6

Laatst bijgewerkt: 5 mei 2025

Van toepassing op:
Experience Manager 6.5

Onderwerpen:

Gemaakt voor:

Beheerder

LDAP (het juiste D directe A toegang P protocol) wordt gebruikt voor de toegang tot van de gecentraliseerde indexdiensten. Het helpt de inspanning te verminderen die wordt vereist om gebruikersrekeningen te beheren aangezien zij door veelvoudige toepassingen kunnen worden betreden. Een dergelijke LDAP-server is Active Directory. LDAP wordt vaak gebruikt om Single Sign On te bereiken, waardoor een gebruiker toegang heeft tot meerdere toepassingen nadat hij zich eenmaal heeft aangemeld.

Gebruikersaccounts kunnen worden gesynchroniseerd tussen de LDAP-server en de gegevensopslagruimte, waarbij de gegevens van de LDAP-account worden opgeslagen in de gegevensopslagruimte. Met deze functionaliteit kunnen de accounts worden toegewezen aan groepen in de opslagplaats voor het toewijzen van de vereiste machtigingen en bevoegdheden.

De gegevensopslagruimte gebruikt LDAP-verificatie om dergelijke gebruikers te verifiëren, waarbij referenties worden doorgegeven aan de LDAP-server voor validatie, wat vereist is voordat toegang tot de gegevensopslagruimte wordt toegestaan. Om de prestaties te verbeteren, kunnen gevalideerde gegevens door de opslagplaats in cache worden opgeslagen, met een vervaltijd om ervoor te zorgen dat de validatie na een geschikte periode wordt uitgevoerd.

Wanneer een account wordt verwijderd van de LDAP-server, wordt de validatie niet meer verleend en wordt de toegang tot de gegevensopslagruimte geweigerd. Details van LDAP-accounts die in de opslagplaats zijn opgeslagen, kunnen ook worden gewist.

Het gebruik van dergelijke accounts is transparant voor uw gebruikers. Dat wil zeggen dat ze geen verschil zien tussen gebruikers- en groepsaccounts die met LDAP zijn gemaakt, en accounts die alleen in de opslagplaats zijn gemaakt.

In AEM 6 wordt bij LDAP-ondersteuning een nieuwe implementatie geleverd waarvoor een ander type configuratie is vereist dan bij eerdere versies.

Alle configuraties LDAP zijn nu beschikbaar als configuraties OSGi. Zij kunnen via de console van het Beheer van het Web in worden gevormd:
https://serveraddress:4502/system/console/configMgr

Om LDAP te hebben werkend met AEM, moet u drie configuraties tot stand brengen OSGi:

Een LDAP Identity Provider (IDP).
Een synchronisatiehandler.
Een externe aanmeldingsmodule.

NOTE

Controle de Externe Login Module van Oak - voor authentiek verklaren met LDAP en voorbijom Externe Login Modules te duiken.

Om een voorbeeld te lezen van het vormen van Experience Manager met Apache DS, zie het Vormen Adobe Experience Manager 6.5 om de Dienst van de Folder te gebruiken Apache.

De LDAP-identiteitsprovider configureren

De LDAP-identiteitsprovider wordt gebruikt om te definiëren hoe gebruikers worden opgehaald van de LDAP-server.

Het kan in de beheersconsole onder worden gevonden Apache Jackrabbit Oak LDAP de naam van de Identiteitsleverancier.

De volgende configuratieopties zijn beschikbaar voor de LDAP Identiteitsprovider:

Naam LDAP-provider

Naam van deze LDAP-providerconfiguratie.

gastheer LDAP van de Server

Hostnaam van de LDAP-server

LDAP-serverpoort

Poort van de LDAP-server

SSL gebruiken

Hiermee wordt aangegeven of een SSL-verbinding (LDAP) moet worden gebruikt.

TLS gebruiken

Geeft aan of TLS moet worden gestart op verbindingen.

Certificaatcontrole uitschakelen

Hiermee wordt aangegeven of validatie van servercertificaten moet worden uitgeschakeld.

DN binden

DN van de gebruiker voor verificatie. Als dit veld leeg blijft, wordt een anonieme binding uitgevoerd.

Wachtwoord binden

Wachtwoord van de gebruiker voor verificatie

Time-out zoeken

Tijd tot een zoektijd uit

Admin pool max actief

De maximale actieve grootte van de beheerverbindingspool.

Maximale aantal gebruikers

De maximale actieve grootte van de pool van de gebruikersverbinding.

Gebruiker basis-DN

De DN voor gebruikerszoekopdrachten

Gebruikersobjectklassen

De lijst met objectklassen die een gebruikersinvoer moet bevatten.

Id-kenmerk van gebruiker

Naam van het attribuut dat gebruikersidentiteitskaart bevat

Extra filter Gebruiker

Extra LDAP-filter bij het zoeken naar gebruikers. Het laatste filter heeft de notatie: '(&(<idAttr>=<userId>)(objectclass=<objectclass>)<extraFilter>)' (user.extraFilter)

DN-paden gebruiker

Bepaalt of de DN moet worden gebruikt voor het berekenen van een gedeelte van het tussenliggende pad.

Basis-DN groeperen

De basis-DN voor groepszoekopdrachten.

Objectklassen groeperen

De lijst met objectklassen die een groepsitem moet bevatten.

Groepsnaam, kenmerk

Naam van het kenmerk dat de groepsnaam bevat.

Extra filter groeperen

Extra LDAP-filter bij het zoeken naar groepen. Het laatste filter wordt opgemaakt als: '(&(<nameAttr>=<groupName>)(objectclass=<objectclass>)<extraFilter>)'

DN-paden groeperen

Bepaalt of de DN moet worden gebruikt voor het berekenen van een gedeelte van het tussenliggende pad.

Kenmerk groepslid

Groepattribuut dat een of meer leden van een groep bevat.

Synchronisatie-handler configureren

De synchronisatiehandler definieert hoe de gebruikers en groepen van Identiteitsproviders worden gesynchroniseerd met de gegevensopslagruimte.

Het wordt gevestigd onder Apache Jackrabbit Oak de naam van de Handler van de Standaard van de Synchronisatie in de beheersconsole.

De volgende configuratieopties zijn beschikbaar voor de Synchronisatie-handler:

Naam synchronisatiehandler

Naam van de sync-configuratie.

Vervaltijd gebruiker

Duur totdat een gesynchroniseerde gebruiker is verlopen.

Automatisch lidmaatschap van gebruiker

Lijst met groepen waaraan een gesynchroniseerde gebruiker automatisch wordt toegevoegd.

Toewijzing van gebruikerseigenschappen

List-mapping definitie van lokale eigenschappen van externe eigenschappen.

Voorvoegsel gebruikerspad

Het padvoorvoegsel dat wordt gebruikt bij het maken van gebruikers.

Vervaldatum gebruikerslidmaatschap

Tijd waarna het lidmaatschap verloopt.

Geneste diepte van gebruikerslidmaatschap

Retourneert de maximale diepte van het nesten van groepen wanneer lidmaatschapsrelaties worden gesynchroniseerd. Met de waarde 0 wordt het opzoeken van het groepslidmaatschap effectief uitgeschakeld. Met de waarde 1 voegt u alleen de directe groepen van een gebruiker toe. Deze waarde heeft geen effect wanneer u afzonderlijke groepen alleen synchroniseert wanneer u een abonnement voor een gebruikerslidmaatschap synchroniseert.

Vervaltijd groep

Duur tot een gesynchroniseerde groep verloopt.

Automatisch lidmaatschap groeperen

Lijst met groepen waaraan een gesynchroniseerde groep automatisch wordt toegevoegd.

Groepseigenschappen toewijzen

List-mapping definitie van lokale eigenschappen van externe eigenschappen.

Groepspadvoorvoegsel

Het padvoorvoegsel dat wordt gebruikt bij het maken van groepen.

De externe login module wordt gevestigd onder Apache Jackrabbit Oak Externe Login Module onder de beheersconsole.

NOTE

De Apache Jackrabbit Oak External Login Module implementeert de Java™ Authentication and Authorization Servi (JAAS)-specificaties. Zie de officiële Gids van de Verwijzing van de Veiligheid Java™ van het Oraclevoor meer informatie.

Zijn baan moet bepalen welke Leverancier van de Identiteit en de Handler van de Synchronisatie aan gebruik, effectief binden de twee modules.

De volgende configuratieopties zijn beschikbaar:

JAAS Rangschikkend

Het specificeren van het rangschikken (namelijk, soortorde) van deze login moduleingang. De items worden in aflopende volgorde gesorteerd (dat wil zeggen dat configuraties met een hogere waarde het eerst komen).

Vlag van de Controle JAAS

Eigenschap die aangeeft of een LoginModule VEREIST, VEREIST, VOLDOENDE of OPTIONEEL is. Zie de configuratiedocumentatie van JAAS voor meer details rond de betekenis van deze vlaggen.

JAAS Realm

De naam van het domein (of de toepassingsnaam) waartegen LoginModule wordt geregistreerd. Als geen domeinnaam wordt verstrekt, dan wordt LoginModule geregistreerd met een standaarddomein zoals die in de configuratie van Felix JAAS wordt gevormd.

Naam van de Identiteitsprovider

Naam van de identiteitsprovider.

Naam van de Handler van de Synchronisatie

Naam van de synchronisatiehandler.

NOTE

Als u op het hebben van meer dan één configuratie LDAP met uw AEM instantie van plan bent, moeten de afzonderlijke Leveranciers van de Identiteit en de Managers van de Synchronisatie voor elke configuratie worden gecreeerd.

LDAP configureren via SSL

AEM 6 kan worden gevormd om met LDAP over SSL voor authentiek te verklaren door de hieronder procedure te volgen:

Controle het SSL van het Gebruik of gebruiken TLS checkboxes wanneer het vormen van de LDAP Identiteitsleverancier.
Configureer de synchronisatiehandler en de module Externe aanmelding naar wens.
Installeer indien nodig de SSL-certificaten in uw Java™ VM. U kunt deze installatie uitvoeren met behulp van het hulpprogramma:

keytool -import -alias localCA -file <certificate location> -keystore <keystore location>
Test de verbinding met de LDAP-server.

SSL-certificaten maken

Zelfondertekende certificaten kunnen worden gebruikt bij het configureren van AEM voor verificatie met LDAP via SSL. Hieronder ziet u een voorbeeld van een werkprocedure voor het genereren van certificaten voor gebruik met AEM.

Zorg ervoor dat u een SSL-bibliotheek hebt geïnstalleerd en werkt. Bij deze procedure wordt OpenSSL als voorbeeld gebruikt.
Maak een aangepast cnf-bestand (OpenSSL Configuration). Deze configuratie kan worden gedaan door het standaard openssl.cnf  configuratiedossier te kopiëren en het aan te passen. Op UNIX®-systemen staat deze op /usr/lib/ssl/openssl.cnf

Ga aan het creëren van de wortelsleutel van CA door het hieronder bevel in een terminal in werking te stellen:

openssl genpkey -algorithm [public key algorithm] -out certificatefile.key -pkeyopt [public key algorithm option]

Maak vervolgens een zelfondertekend certificaat:

openssl req -new -x509 -days [number of days for certification] -key certificatefile.key -out root-ca.crt -config CA/openssl.cnf
Om ervoor te zorgen dat alles in orde is, inspecteer het onlangs geproduceerde certificaat:

openssl x509 -noout -text -in root-ca.crt
Controleer of alle mappen die zijn opgegeven in het cnf-bestand (Certificate Configuration) bestaan. Als dat niet het geval is, maakt u ze.
Een willekeurig zaadje maken door bijvoorbeeld te draaien:

openssl rand -out private/.rand 8192
Verplaats de gemaakte .pem-bestanden naar de locaties die in het .cnf-bestand zijn geconfigureerd.
Voeg ten slotte het certificaat toe aan het Java™ sleutelarchief.

Foutopsporingsregistratie inschakelen

Foutopsporingslogbestand kan worden ingeschakeld voor zowel de LDAP-identiteitsprovider als de externe aanmeldingsmodule om verbindingsproblemen op te lossen.

Om te toelaten zuivert registreren, moet u het volgende doen:

Ga naar de webbeheerconsole.
Zoek naar "Apache Sling Logging Logger Configuration" en maak twee loggers met de volgende opties:

Logniveau: Foutopsporing
Logbestand logs/ldap.log
Berichtpatroon: {0,date,dd.MM.yyyy HH:mm:ss.SSS *{4}* {2}
Logger: org.apache.jackrabbit.oak.security.authentication.ldap
Logniveau: Foutopsporing
Logbestand: logs/external.log
Berichtpatroon: {0,date,dd.MM.yyyy HH:mm:ss.SSS *{4}* {2}
Logger: org.apache.jackrabbit.oak.spi.security.authentication.external

Een woord over groepsverbinding

Gebruikers die via LDAP zijn gesynchroniseerd, kunnen deel uitmaken van verschillende groepen in AEM. Deze groepen kunnen externe LDAP-groepen zijn die als onderdeel van het synchronisatieproces aan AEM worden toegevoegd. Ze kunnen echter ook groepen zijn die afzonderlijk worden toegevoegd en geen deel uitmaken van het oorspronkelijke LDAP-groepslidmaatschapsschema.

Gewoonlijk worden deze groepen toegevoegd door een lokale AEM beheerder of door een andere identiteitsprovider.

Als een gebruiker wordt verwijderd uit een groep op de LDAP-server, wordt de wijziging tijdens de synchronisatie weerspiegeld aan de AEM kant. Alle andere groepsrelaties van de gebruiker die niet door LDAP zijn toegevoegd, blijven echter van kracht.

AEM detecteert en verwerkt het leegmaken van gebruikers van externe groepen met behulp van de eigenschap rep:externalId . Dit bezit wordt automatisch toegevoegd aan om het even welke gebruiker of groep die door de Handler van de Synchronisatie wordt gesynchroniseerd en het bevat informatie over de voortkomende identiteitsleverancier.

Zie de documentatie van Apache Oak op de Synchronisatie van de Gebruiker en van de Groep.

Bekende problemen

Als u LDAP wilt gebruiken via SSL, moet u ervoor zorgen dat de certificaten die u gebruikt, worden gemaakt zonder de Netscape-commentaaroptie. Als deze optie is ingeschakeld, mislukt de verificatie met een SSL Handshake-fout.

recommendation-more-help

LDAP configureren met AEM 6

De LDAP-identiteitsprovider configureren

Synchronisatie-handler configureren

De externe aanmeldingsmodule

LDAP configureren via SSL

SSL-certificaten maken

Foutopsporingsregistratie inschakelen

Een woord over groepsverbinding

Bekende problemen