Configuração do LDAP com AEM 6 configuring-ldap-with-aem
O LDAP (o protocolo L ightweight D diretory A ccess P a) é usado para acessar serviços de diretório centralizados. Isso ajuda a reduzir o esforço necessário para gerenciar contas de usuários, pois elas podem ser acessadas por vários aplicativos. Um desses servidores LDAP é o Ative Diretory. O LDAP geralmente é usado para obter o Logon único, que permite que um usuário acesse vários aplicativos depois de fazer logon uma vez.
As contas de usuário podem ser sincronizadas entre o servidor LDAP e o repositório, com os detalhes da conta LDAP salvos no repositório. Essa funcionalidade permite que as contas sejam atribuídas a grupos de repositórios para alocar as permissões e os privilégios necessários.
O repositório usa autenticação LDAP para autenticar esses usuários, com credenciais sendo passadas ao servidor LDAP para validação, o que é necessário antes de permitir o acesso ao repositório. Para melhorar o desempenho, as credenciais validadas com êxito podem ser armazenadas em cache pelo repositório, com um tempo limite de expiração para garantir que a revalidação ocorra após um período apropriado.
Quando uma conta é removida do servidor LDAP, a validação não é mais concedida e o acesso ao repositório é negado. Os detalhes das contas LDAP salvas no repositório também podem ser removidos.
O uso dessas contas é transparente para os usuários. Ou seja, eles não veem diferença entre contas de usuários e de grupos criadas com base no LDAP e contas criadas exclusivamente no repositório.
No AEM 6, o suporte LDAP vem com uma nova implementação que requer um tipo de configuração diferente do que com versões anteriores.
Todas as configurações LDAP agora estão disponíveis como configurações OSGi. Eles podem ser configurados por meio do console de Gerenciamento da Web em:https://serveraddress:4502/system/console/configMgr
Para que o LDAP funcione com AEM, você deve criar três configurações OSGi:
- Um Provedor de Identidade LDAP (IDP).
- Um Manipulador de sincronização.
- Um Módulo De Logon Externo.
Configuração do provedor de identidade LDAP configuring-the-ldap-identity-provider
O Provedor de Identidade LDAP é usado para definir como os usuários são recuperados do servidor LDAP.
Ele pode ser encontrado no console de gerenciamento sob o nome Apache Jackrabbit Oak LDAP Identity Provider.
As seguintes opções de configuração estão disponíveis para o Provedor de Identidade LDAP:
Configuração Do Manipulador De Sincronização configuring-the-synchronization-handler
O manipulador de sincronização define como os usuários e grupos do Provedor de identidade são sincronizados com o repositório.
Está localizado no nome Apache Jackrabbit Oak Default Sync Handler do console de gerenciamento.
As seguintes opções de configurações estão disponíveis para o Manipulador de sincronização:
O módulo de login externo the-external-login-module
O módulo de logon externo está localizado no Módulo de Logon Externo do Apache Jackrabbit Oak no console de gerenciamento.
Seu trabalho é definir qual Provedor de identidade e Manipulador de sincronização usar, vinculando efetivamente os dois módulos.
As seguintes opções de configuração estão disponíveis:
Configurar LDAP sobre SSL configure-ldap-over-ssl
O AEM 6 pode ser configurado para autenticação com LDAP sobre SSL seguindo o procedimento abaixo:
-
Marque as caixas de seleção Usar SSL ou Usar TLS ao configurar o Provedor de Identidade LDAP.
-
Configure o Manipulador de sincronização e o módulo de Logon externo de acordo com sua configuração.
-
Instale os certificados SSL em sua VM Java™, se necessário. Esta instalação pode ser feita usando a ferramenta de chave:
keytool -import -alias localCA -file <certificate location> -keystore <keystore location>
-
Teste a conexão com o servidor LDAP.
Criação de certificados SSL creating-ssl-certificates
Certificados autoassinados podem ser usados ao configurar o AEM para autenticação com LDAP via SSL. Veja abaixo um exemplo de um procedimento funcional para geração de certificados para uso com AEM.
-
Verifique se você tem uma biblioteca SSL instalada e em funcionamento. Este procedimento usa OpenSSL como exemplo.
-
Crie um arquivo de configuração OpenSSL (cnf) personalizado. Essa configuração pode ser feita copiando o arquivo de configuração padrão openssl.cnf e personalizando-o. Em sistemas UNIX®, está em
/usr/lib/ssl/openssl.cnf
-
Prossiga para a criação da chave raiz da CA executando o comando abaixo em um terminal:
code language-none openssl genpkey -algorithm [public key algorithm] -out certificatefile.key -pkeyopt [public key algorithm option]
-
Em seguida, crie um certificado autoassinado:
openssl req -new -x509 -days [number of days for certification] -key certificatefile.key -out root-ca.crt -config CA/openssl.cnf
-
Para verificar se tudo está em ordem, inspecione o certificado recém-gerado:
openssl x509 -noout -text -in root-ca.crt
-
Verifique se todas as pastas especificadas no arquivo de configuração de certificado (.cnf) existem. Caso contrário, crie-as.
-
Crie uma seed aleatória, executando, por exemplo:
openssl rand -out private/.rand 8192
-
Mova os arquivos .pem criados para os locais configurados no arquivo .cnf.
-
Por fim, adicione o certificado ao Java™ keystore.
Ativando o log de depuração enabling-debug-logging
O log de depuração pode ser ativado para o Provedor de Identidade LDAP e o Módulo de Login Externo para solucionar problemas de conexão.
Para ativar o log de depuração, faça o seguinte:
- Vá até o Console de Gerenciamento da Web.
- Localize "Configuração do logger de log do Apache Sling" e crie dois loggers com as seguintes opções:
-
Nível de registro: depuração
-
Arquivo de log logs/ldap.log
-
Padrão de Mensagem: {0,date,
dd.MM.yyyy
HH:mm:ss.SSS
*{4}* {2} -
Agente de log: org.apache.jackrabbit.oak.security.authentication.ldap
-
Nível de registro: depuração
-
Arquivo de log: logs/external.log
-
Padrão de Mensagem: {0,date,
dd.MM.yyyy
HH:mm:ss.SSS
*{4}* {2} -
Agente de log: org.apache.jackrabbit.oak.spi.security.authentication.external
Uma Palavra sobre Afiliação de Grupos a-word-on-group-affiliation
Os usuários sincronizados por meio do LDAP podem fazer parte de diferentes grupos no AEM. Esses grupos podem ser grupos LDAP externos que são adicionados ao AEM como parte do processo de sincronização. No entanto, eles também podem ser grupos adicionados separadamente e que não fazem parte do esquema original de afiliação de grupo LDAP.
Normalmente, esses grupos são adicionados por um administrador local do AEM ou por qualquer outro provedor de identidade.
Se um usuário for removido de um grupo no servidor LDAP, a alteração será refletida no lado AEM na sincronização. No entanto, todas as outras afiliações de grupo do usuário que não foram adicionadas pelo LDAP permanecem em vigor.
O AEM detecta e lida com a limpeza de usuários de grupos externos usando a propriedade rep:externalId
. Esta propriedade é adicionada automaticamente a qualquer usuário ou grupo que seja sincronizado pelo Manipulador de sincronização e contenha informações sobre o provedor de identidade de origem.
Consulte a documentação do Apache Oak em Sincronização de usuários e grupos.
Problemas conhecidos known-issues
Se você planeja usar LDAP sobre SSL, verifique se os certificados que você está usando são criados sem a opção de comentário do Netscape. Se essa opção estiver ativada, a autenticação falhará com um erro de handshake SSL.