Problem

Sie haben die LDAP-Authentisierung über AEM [1] konfiguriert, doch ist es LDAP-Anwendern nicht möglich sich anzumelden.  Sie sehen diese Protokollmeldung:

Caused by: org.apache.directory.api.ldap.model.exception.LdapException: TimeOut occurred
at org.apache.directory.ldap.client.api.LdapNetworkConnection.writeRequest(LdapNetworkConnection.java:4106)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bindAsync(LdapNetworkConnection.java:1290)
at org.apache.directory.ldap.client.api.LdapNetworkConnection.bind(LdapNetworkConnection.java:1188)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:127)
at org.apache.directory.ldap.client.api.AbstractLdapConnection.bind(AbstractLdapConnection.java:112)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.bindConnection(DefaultLdapConnectionFactory.java:64)
at org.apache.directory.ldap.client.api.DefaultLdapConnectionFactory.newLdapConnection(DefaultLdapConnectionFactory.java:107)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:133)
at org.apache.directory.ldap.client.api.ValidatingPoolableLdapConnectionFactory.makeObject(ValidatingPoolableLdapConnectionFactory.java:59)
at org.apache.commons.pool.impl.GenericObjectPool.borrowObject(GenericObjectPool.java:1188)
at org.apache.directory.ldap.client.api.LdapConnectionPool.getConnection(LdapConnectionPool.java:123)
at org.apache.jackrabbit.oak.security.authentication.ldap.impl.LdapIdentityProvider.connect(LdapIdentityProvider.java:771)
... 57 common frames omitted

Ursache

Der Auszeit-Fehler gibt in der Regel an, dass der LDAP-Server aufgrund von einer Firewall nicht von AEM erreicht werden kann, unerreichbar ist (wegen Netzwerkproblemen), er heruntergefahren wurde oder nicht reagiert.

Lösung

Um das Problem zu beheben, müssen Sie die Verbindung von AEM zum LDAP-Server von Fehlern befreien.  Folgendes sollten Sie überprüfen:

  • Überprüfen Sie, ob der LDAP-Server von anderen Computern als dem AEM-Server mithilfe eines LDAP-Browsers wie dem JXplorer zugänglich ist.  Wenn der Zugriff auf das System nicht möglich ist, ist es möglicherweise ausgefallen oder es liegt ein Problem mit dem Netzwerk oder der Firewall vor. Wenden Sie sich an Ihren Netzbetreiber und an das Unternehmen, das Ihren LDAP-Server managt, um Genaueres zu erfahren.
  • Wenn auf den LDAP-Server von anderen Computern aus zugegriffen werden kann, führen Sie mit dem Betriebssystem des AEM-Servers einen Test durch.  Installieren Sie auf dem Betriebssystem des AEM-Servers einen LDAP-Client und versuchen von dort aus, auf den LDAP-Server zuzugreifen.  Unter Linux können Sie den Befehl ldapsearch verwenden.  Unter Windows verwenden Sie JXplorer.
  • Wenn der Server den LDAP-Server erreichen kann, die LDAP basierte Anmeldung auf AEM jedoch fehlschlägt, müssen Sie die Konfiguration des „LDAP-Identitäts-Providers“ überprüfen.  Melden Sie sich über die OSGi-Web-Konsole an (http://aem-host:port/system/console/configMgr) und suchen Sie nach „Apache Jackrabbit Oak LDAP Identity Provider“.  Einige Schritte, die das Problem unter Umständen lösen können:
    • Stimmen Sie „Anwender-Basis DN“, „Anwender-Extra-Filter“, „Gruppen-Basis DN“ und „Gruppen-Extra-Filter“ ab, damit der Suchfilter in AEM ausschließlich relevante Anwender und Gruppen findet.
    • Vergewissern Sie sich, dass die „Bindungs-DN“ und das „Bindungs-Passwort“ korrekt sind.
    • Deaktivieren Sie „Administrator-Pool beim Validieren nachschlagen“ und „Anwender-Pool beim validieren nachschlagen
    • Erhöhen Sie die „Zeitüberschreitung der Suche

Screenshot der LDAP-Identitäts-Provider-Konfiguration:

rtaimage_3_
  • Bei den meisten unternehmerischen Kunden ist LDAP oft lastausgleichend. Dieses Problem kann Ihnen auch begegnen, wenn der Lastausgleicher vor den LDAP-Servern Ihre AEM-Server-IP aus welchen Gründen auch immer auf die schwarze Liste gesetzt hat. Wenn dieses Problem auftritt, engagieren Sie das LDAP-Team, um es zu lösen. Als Schnellversuch können Sie die IP des LDAP-Servers, der den LDAP-Ladungs-Ausgleicher umleitet, ansteuern, um zu überprüfen, ob die LDAP-Authentisierung in AEM erfolgreich ist.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie