Symptome

Die LDAP-Authentifizierung ist nötig, um Benutzer zu authentifizieren, die in einem (zentralen) LDAP-Verzeichnis wie etwa Active Directory stehen. In der Sling-Management-Console ist keine Konfiguration zu finden.

Ursache

Die LDAP-Authentifizierung muss auf einer Repository-Ebene aktiviert und konfiguriert werden, daher wird sie direkt von CRX und nicht von CQ5 übernommen.

Lösung

CQ5.3 mit CRX2.1 LDAP-Konfiguration

Für die Dokumentation darüber, wie Sie die Integration von LDAP für CQ5.3 konfigurieren, klicken Sie hier

CQ5.4 oder CQ5.3 mit CRX2.2 LDAP konfigurieren

Für die Dokumentation darüber, wie Sie die LDAP-Integration für CRX2.2 konfigurieren, klicken Sie hier

CQ5.2.x LDAP-Konfiguration

Bitte sehen Sie sich den entsprechenden Abschnitt [1] auf unserer Dokumentations-Seite an.

Bitte beachten: Wenn Sie die JVM-Option durchführen, konfigurieren Sie bitte in der Datei ldap_login.conf einen absoluten Pfad.

java -Djava.security.auth.login.config=/opt/day/cq5/crx-quickstart/server/etc/ldap_login.conf -jar cq-quickstart.jar 

Falls Sie crx-quickstart/server/start verwenden, um Ihren Server zu starten, können Sie die folgenden Umgebungs-Variablen setzen:

CQ_JVM_JAAS=1 CQ_JVM_JAAS_CONFIG=crx-quickstart/server/etc/ldap_login.conf 

Beispiel für LDAP-Konfigurationen

CQ5.2.x Konfiguration für die Verwendung mit Active Directory

Diese Konfiguration verwendet CQ-Gruppen (d. h. Gruppen werden nicht über die Active Directory synchronisiert):

com.day.crx {
    com.day.crx.security.authentication.CRXLoginModule sufficient;
    com.day.crx.security.ldap.LDAPLoginModule required
    principal_provider.class="com.day.crx.security.ldap.principals.LDAPPrincipalProvider"
    principal_provider.name="ldap"
    host="ldapserverhostname" port="389"
    authDn="dc=testldap,dc=com"
    authPw="test"
    userRoot="ou=CQ,ou=Users,dc=testldap,dc=com
    authentication.mode="user"
    userIdAttribute="sAMAccountName"
    deny_anonymous_access="true"
    autocreate="create"
    autocreate.syncdelay="1800"
    autocreate.lastmodified ="lastmodified"
    autocreate.user.mail="rep:e-mail"
    autocreate.user.cn="rep:fullname"
    autocreate.path="splitdn"
    cacheMaxSize="10000"
    cache.expiration="600"
    cache.maxsize="100";
};

CQ5.3 mit CRX 2.1 (und installiertem Hotfix 2.1.0.4) zur Verwendung mit Active Directory

Installation des Active Directorys mit Gruppen- und Anwendersynchronisation zur Verwendung mit CQ5.3/CRX2.1 mit installiertem CRX Hotfix 2.1.0.4. Um die Synchronisation von Gruppen zu unterbinden, legen Sie die groupRoot-Eigenschaft als leeres, existierendes OU an.

com.day.crx {
    com.day.crx.security.ldap.LDAPLoginModule required
    restore-login-identity="false"
    principal_provider.class="com.day.crx.security.ldap.principals.LDAPPrincipalProvider"
    principal_provider.name="ldap"
    host="ldapserverhostname" port="389"
    authDn="dc=testldap,dc=com"
    authPw="test"
    userRoot="ou=CQ,ou=Users,dc=testldap,dc=com"
    authDn="CN=CQAdmin,OU=Users,dc=testldap,dc=com"
    authPw="test"
    bindDn="dc=testldap,dc=us"
    groupMembershipAttribute="member"
    groupRoot="ou=CQ,ou=Groups,dc=testldap,dc=com"
    groupFilter="(objectclass=group)"
    searchTimeout="100"
    userIdAttribute="sAMAccountname"
    deny_anonymous_access="true"
    autocreate="create"
    autocreate.lastmodified="whenChanged"
    autocreate.user.mail="email"
    autocreate.user.sn="cq:last-name"
    autocreate.user.givenName="cq:first-name"
    autocreate.user.description="aboutMe"
    autocreate.user.cn="rep:fullname"
    autocreate.group.cn="rep:fullname"
    autocreate.group.givenName="cq:first-name"
    autocreate.group.mail="email"
    autocreate.group.description = "aboutMe"
    autocreate.group.localadmin="admin"
    autocreate.path="splitdn"
    autocreate.syncdelay="1800"
    cache.expiration="600"
    cache.maxsize="100";
    com.day.crx.core.CRXLoginModule required;
};

CQ5.4 und CQ5.5 für die Verwendung mit Active Directory

Installation von Active Directory mit Gruppen- und Anwender-Synchronisation unter Verwendung von CQ5.4. Um die Synchronisation von Gruppen zu unterbinden, legen Sie die groupRoot-Eigenschaft als leeres, existierendes OU an.

com.day.crx {
  com.day.crx.core.CRXLoginModule sufficient
    trust_credentials_attribute="TrustedInfo";
  com.day.crx.security.ldap.LDAPLoginModule required
    principal_provider.class="com.day.crx.security.ldap.principals.LDAPPrincipalProvider"
    rincipal_provider.name="ldapDirectory"
    trust_credentials_attribute="TrustedInfo"
    host="ldap-server-hostname"
    port="389"
    authDn="CN=Admin,OU=Users,DC=test,DC=com"
    authPw="xxxxxxxxx"
    userRoot="OU=Users,DC=test,DC=com"
    userIdAttribute="sAMAccountName"
    groupRoot="OU=Groups,DC=test,DC=com"
    groupMembershipAttribute="member"
    autocreate="create"
    autocreate.path="none"
    autocreate.user.cn="rep:fullname"
    autocreate.user.mail="profile/email"
    autocreate.user.sn="profile/familyName"
    autocreate.user.givenName="profile/givenName"
    autocreate.group.cn="rep:fullname"
    autocreate.group.mail="profile/email"
    cache.expiration="7200"
    cache.maxsize="1000"
    userFilter="(objectClass=person)"
    groupFilter="(objectClass=group)";
};

Gilt für

CQ5.1, CQ5.2.x,
[1] LDAP-Konfiguration

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie