DocumentaçãoAEM 6.4Guia de administração

Configuração do LDAP com AEM 6 configuring-ldap-with-aem

Last update: Thu May 04 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Criado para:

  • Administrador
CAUTION
AEM 6.4 chegou ao fim do suporte estendido e esta documentação não é mais atualizada. Para obter mais detalhes, consulte nossa períodos de assistência técnica. Encontre as versões compatíveis here.

LDAP (o L leve D Diretório A acesso P rotocol) é usado para acessar serviços de diretório centralizados. Isso ajuda a reduzir o esforço necessário para gerenciar contas de usuário, pois elas podem ser acessadas por vários aplicativos. Um desses servidores LDAP é o Ative Diretory. O LDAP é frequentemente usado para alcançar o Logon único , o que permite que um usuário acesse vários aplicativos após fazer logon uma vez.

As contas de usuário podem ser sincronizadas entre o servidor LDAP e o repositório, com os detalhes da conta LDAP sendo salvos no repositório. Isso permite que as contas sejam atribuídas a grupos de repositório para alocar as permissões e privilégios necessários.

O repositório usa a autenticação LDAP para autenticar esses usuários, com credenciais sendo passadas ao servidor LDAP para validação, o que é necessário antes de permitir o acesso ao repositório. Para melhorar o desempenho, as credenciais validadas com êxito podem ser armazenadas em cache pelo repositório, com um tempo limite de expiração para garantir que a revalidação ocorra após um período apropriado.

Quando uma conta é removida do servidor LDAP, a validação não é mais concedida e, portanto, o acesso ao repositório é negado. Detalhes de contas LDAP que são salvas no repositório também podem ser removidos.

O uso dessas contas é transparente para os usuários, eles não veem diferença entre as contas de usuário e grupo criadas a partir do LDAP e as criadas exclusivamente no repositório.

No AEM 6, o suporte LDAP vem com uma nova implementação que requer um tipo de configuração diferente das versões anteriores.

Todas as configurações LDAP agora estão disponíveis como configurações OSGi. Eles podem ser configurados por meio do console de Gerenciamento da Web em:
https://serveraddress:4502/system/console/configMgr

Para que o LDAP funcione com o AEM, é necessário criar três configurações OSGi:

  1. Um provedor de identidade LDAP (IDP).
  2. Um Manipulador De Sincronização.
  3. Um Módulo De Logon Externo.
NOTE
Observar [Módulo de logon externo do Oak - Autenticação com LDAP e Além]https://experienceleague.adobe.com/docs/experience-manager-gems-events/gems/gems2015/aem-oak-external-login-module-authenticating-with-ldap-and-beyond.html?lang=pt-BR) para aprofundar os Módulos de logon externo.
Para ler um exemplo de configuração do Experience Manager com Apache DS, consulte Configurando o Adobe Experience Manager 6.4 para usar o Apache Diretory Service.

Configuração Do Provedor De Identidade LDAP configuring-the-ldap-identity-provider

O Provedor de identidade LDAP é usado para definir como os usuários são recuperados do servidor LDAP.

Ele pode ser encontrado no console de gerenciamento sob o Provedor de identidade LDAP do Apache Jackrabbit Oak nome.

As seguintes opções de configuração estão disponíveis para o Provedor de identidade LDAP:

Nome do provedor LDAP
Nome dessa configuração do provedor LDAP.
Nome do host do servidor LDAP
Nome do host do servidor LDAP
Porta do servidor LDAP
Porta do servidor LDAP
Usar SSL
Indica se uma conexão SSL (LDAPs) deve ser usada.
Usar TLS
Indica se o TLS deve ser iniciado nas conexões.
Desativar verificação de certificado
Indica se a validação do certificado do servidor deve ser desativada.
DN de Ligação
DN do usuário para autenticação. Se isso for deixado em branco, um vínculo anônimo será executado.
Senha de Ligação
Senha do usuário para autenticação
Tempo limite da pesquisa
Tempo até que a pesquisa atinja o tempo limite
Máximo de pool de administradores ativo
O tamanho ativo máximo do pool de conexão do administrador.
Máximo de pool de usuários ativo
O tamanho ativo máximo do pool de conexões do usuário.
DN de base do usuário
O DN para pesquisas de usuários
Classes de objetos do usuário
A lista de classes de objetos que uma entrada de usuário deve conter.
Atributo de ID do usuário
Nome do atributo que contém a ID do usuário.
Filtro extra do usuário
Filtro LDAP extra a ser usado ao pesquisar usuários. O filtro final é formatado da seguinte maneira: '(&(<idattr>=<userid>)(objectclass=<objectclass>)<extrafilter>)' (user.extraFilter)
Caminhos de DN do usuário
Controla se o DN deve ser usado para calcular uma parte do caminho intermediário.
DN de base de grupo
O DN de base para pesquisas de grupo.
Classes de objetos de grupo
A lista de classes de objetos que uma entrada de grupo deve conter.
Atributo do nome do grupo
Nome do atributo que contém o nome do grupo.
Filtro extra do grupo
Filtro LDAP extra a ser usado ao pesquisar por grupos. O filtro final é formatado como: '(&(<nameattr>=<groupname>)(objectclass=<objectclass>)<extrafilter>)'
Caminhos de DN do Grupo
Controla se o DN deve ser usado para calcular uma parte do caminho intermediário.
Atributo do membro do grupo
Atributo de grupo que contém os membros de um grupo.

Configurar O Manipulador De Sincronização configuring-the-synchronization-handler

O manipulador de sincronização definirá como os usuários e grupos do Provedor de identidade serão sincronizados com o repositório.

Está localizado sob a variável Manipulador de sincronização padrão do Apache Jackrabbit Oak no console de gerenciamento.

As seguintes opções de configurações estão disponíveis para o Manipulador de Sincronização:

Nome do manipulador de sincronização
Nome da configuração de sincronização.
Tempo de expiração do usuário
Duração até que um usuário sincronizado expire.
Associação automática de usuário
Lista de grupos aos quais um usuário sincronizado é adicionado automaticamente.
Mapeamento de propriedade do usuário
Definição de mapeamento de lista de propriedades locais de propriedades externas.
Prefixo do caminho do usuário
O prefixo de caminho usado ao criar novos usuários.
Expiração de associação de usuário
Hora após a qual a associação expira.
Profundidade de aninhamento da associação do usuário
Retorna a profundidade máxima do aninhamento de grupo quando as relações de associação são sincronizadas. Um valor de 0 desativa efetivamente a pesquisa de associação de grupo. Um valor de 1 adiciona apenas os grupos diretos de um usuário. Esse valor não tem efeito ao sincronizar grupos individuais somente ao sincronizar um ancestral de associação de usuários.
Tempo de Expiração do Grupo
Duração até que um grupo sincronizado expire.
Associação automática de grupo
Lista de grupos aos quais um grupo sincronizado é adicionado automaticamente.
Mapeamento de propriedade do grupo
Definição de mapeamento de lista de propriedades locais de propriedades externas.
Prefixo do caminho do grupo
O prefixo de caminho usado ao criar novos grupos.

O módulo de logon externo the-external-login-module

O módulo de logon externo está localizado na guia Módulo de logon externo Apache Jackrabbit Oak no console de gerenciamento.

NOTE
O módulo de logon externo do Apache Jackrabbit Oak implementa as especificações do Java Authentication and Authorization Service (JAAS). Consulte a Guia oficial de referência de segurança do Java Oracle para obter mais informações.

Seu trabalho é definir qual Provedor de identidade e Manipulador de sincronização usar, vinculando efetivamente os dois módulos.

As seguintes opções de configuração estão disponíveis:

Classificação JAAS
Especificação da classificação (ou seja, ordem de classificação) dessa entrada do módulo de logon. As entradas são classificadas em uma ordem decrescente (ou seja, as configurações de classificação de valor mais alto vêm primeiro).
Sinalizador de Controle JAAS
Propriedade especificando se um LoginModule é OBRIGATÓRIO, REQUISITO, SUFICIENTE ou OPCIONAL.Consulte a documentação de configuração do JAAS para obter mais detalhes sobre o significado desses sinalizadores.
Território JAAS
O nome do realm (ou nome do aplicativo) com base no qual o LoginModule será registrado. Se nenhum nome de realm for fornecido, o LoginModule será registrado com um realm padrão como configurado na configuração do Felix JAAS.
Nome do provedor de identidade
Nome do provedor de identidade.
Nome do manipulador de sincronização
Nome do manipulador de sincronização.
NOTE
Se você planeja ter mais de uma configuração LDAP com sua instância de AEM, é necessário criar provedores de identidade e manipuladores de sincronização separados para cada configuração.

Configurar LDAP por SSL configure-ldap-over-ssl

AEM 6 pode ser configurado para autenticação com LDAP por SSL seguindo o procedimento abaixo:

  1. Verifique a Usar SSL ou Usar TLS caixas de seleção ao configurar o Provedor de identidade LDAP.

  2. Configure o Manipulador de sincronização e o módulo de Logon externo de acordo com sua configuração.

  3. Instale os certificados SSL em sua VM Java, se necessário. Isso pode ser feito usando keytool:

    keytool -import -alias localCA -file <certificate location> -keystore <keystore location>

  4. Teste a conexão com o servidor LDAP.

Criação de certificados SSL creating-ssl-certificates

Certificados autoassinados podem ser usados ao configurar AEM para autenticação com LDAP via SSL. Veja abaixo um exemplo de um procedimento de trabalho para gerar certificados para uso com o AEM.

  1. Certifique-se de ter uma biblioteca SSL instalada e funcionando. Este procedimento usará o OpenSSL como exemplo.

  2. Crie um arquivo de configuração (cnf) OpenSSL personalizado. Isso pode ser feito copiando o arquivo de configuração padrão openssl.cnf ​ e personalizando-o. Em sistemas UNIX, geralmente está localizado em /usr/lib/ssl/openssl.cnf

  3. Continue criando a chave raiz da CA executando o comando abaixo em um terminal:

    code language-none 
    openssl genpkey -algorithm [public key algorithm] -out certificatefile.key -pkeyopt [public key algorithm option]

  4. Em seguida, crie um novo certificado autoassinado:

    openssl req -new -x509 -days [number of days for certification] -key certificatefile.key -out root-ca.crt -config CA/openssl.cnf

  5. Inspect o certificado recém-gerado para garantir que tudo esteja em ordem:

    openssl x509 -noout -text -in root-ca.crt

  6. Verifique se todas as pastas especificadas no arquivo de configuração de certificado (.cnf) existem. Caso contrário, crie-os.

  7. Crie uma seed aleatória, executando, por exemplo:

    openssl rand -out private/.rand 8192

  8. Mova os arquivos .pem criados para os locais configurados no arquivo .cnf .

  9. Por fim, adicione o certificado ao keystore Java.

Ativação do log de depuração enabling-debug-logging

O registro de depuração pode ser ativado tanto para o Provedor de identidade LDAP quanto para o Módulo de logon externo para solucionar problemas de conexão.

Para ativar o log de depuração, é necessário:

  1. Vá para o Console de Gerenciamento da Web.
  2. Localize "Configuração do Apache Sling Logging Logger" e crie dois loggers com as seguintes opções:

  • Nível de registro: Depurar

  • Arquivo de log logs/ldap.log

  • Padrão da mensagem: {0,data,dd.MM.yyyy HHs.SSS} *{4}* {2}

  • Logger: org.apache.jackrabbit.oak.security.authentication.ldap

  • Nível de registro: Depurar

  • Arquivo de log: logs/external.log

  • Padrão da mensagem: {0,data,dd.MM.yyyy HHs.SSS} *{4}* {2}

  • Logger: org.apache.jackrabbit.oak.spi.security.authentication.external

Uma palavra sobre afiliação de grupo a-word-on-group-affiliation

Os usuários sincronizados por meio do LDAP podem fazer parte de grupos diferentes no AEM. Esses grupos podem ser grupos LDAP externos que serão adicionados a AEM como parte do processo de sincronização, mas também podem ser grupos que são adicionados separadamente e não fazem parte do esquema de afiliação do grupo LDAP original.

Na maioria dos casos, esses podem ser grupos adicionados por um administrador de AEM local ou por qualquer outro provedor de identidade.

Se um usuário for removido de um grupo no servidor LDAP, a alteração também será refletida no lado AEM após a sincronização. No entanto, todas as outras afiliações de grupo do usuário que não foram adicionadas pelo LDAP permanecerão em vigor.

O AEM detecta e lida com a limpeza de usuários de grupos externos ao usar o rep:externalId propriedade. Essa propriedade é adicionada automaticamente a qualquer usuário ou grupo sincronizado pelo Manipulador de Sincronização e contém informações sobre o provedor de identidade de origem.

Para obter mais informações, consulte a documentação do Apache Oak em Sincronização de usuários e grupos.

Problemas conhecidos known-issues

Se você planeja usar o LDAP sobre SSL, certifique-se de que os certificados que está usando sejam criados sem a opção de comentário do Netscape. Se essa opção estiver habilitada, a autenticação falhará com um erro de handshake SSL.

recommendation-more-help
5ce3024a-cbea-458b-8b2f-f9b8dda516e8