Síntomas
La autenticación LDAP es necesaria para autenticar a los usuarios almacenados en un directorio LDAP (central) como Active Directory. No hay ninguna configuración en la Consola de administración de Sling.
Causa
La autenticación LDAP debe estar habilitada y configurada en el repositorio, por lo que la administra directamente CRX y no el propio CQ5.
Resolución
CQ5.3 con CRX2.1 Configuración de LDAP
Para obtener documentación sobre la configuración de la integración LDAP para CQ5.3, vaya aquí
CQ5.4 o CQ5.3 con CRX2.2 Configuración de LDAP
Para documentación sobre la configuración de la integración ldap para CRX2.2, vaya aquí
CQ5.2.X Configuración LDAP
Consulte la sección correspondiente [1] en nuestro sitio de documentación.
Tenga en cuenta: Cuando pase la opción JVM, configure una ruta absoluta al archivo ldap_login.conf
:
java -Djava.security.auth.login.config=/opt/day/cq5/crx-quickstart/server/etc/ldap_login.conf -jar cq-quickstart.jar
Si está utilizando crx-quickstart/server/start
para iniciar su servidor, puede configurar las siguientes variables de entorno:
CQ_JVM_JAAS=1 CQ_JVM_JAAS_CONFIG=crx-quickstart/server/etc/ldap_login.conf
Ejemplos de configuraciones de LDAP
CQ5.2.X Configuración para uso con Active DirectoryEsta configuración utiliza grupos CQ (es decir, los grupos no se sincronizarían desde Active Directory):
com.day.crx {
com.day.crx.security.authentication.CRXLoginModule sufficient;
com.day.crx.security.ldap.LDAPLoginModule required
principal_provider.class="com.day.crx.security.ldap.principals.LDAPPrincipalProvider"
principal_provider.name="ldap"
host="ldapserverhostname" port="389"
authDn="dc=testldap,dc=com"
authPw="test"
userRoot="ou=CQ,ou=Users,dc=testldap,dc=com
authentication.mode="user"
userIdAttribute="sAMAccountName"
deny_anonymous_access="true"
autocreate="create"
autocreate.syncdelay="1800"
autocreate.lastmodified ="lastmodified"
autocreate.user.mail="rep:e-mail"
autocreate.user.cn="rep:fullname"
autocreate.path="splitdn"
cacheMaxSize="10000"
cache.expiration="600"
cache.maxsize="100";
};
Configuración de Active Directory con sincronización de grupos y usuarios para utilizar con CQ5.3/CRX2.1 con la corrección CRX 2.1.0.4 instalada. Para no permitir la sincronización de grupo, establezca la propiedad groupRoot en una OU vacía y existente.
com.day.crx {
com.day.crx.security.ldap.LDAPLoginModule required
restore-login-identity="false"
principal_provider.class="com.day.crx.security.ldap.principals.LDAPPrincipalProvider"
principal_provider.name="ldap"
host="ldapserverhostname" port="389"
authDn="dc=testldap,dc=com"
authPw="test"
userRoot="ou=CQ,ou=Users,dc=testldap,dc=com"
authDn="CN=CQAdmin,OU=Users,dc=testldap,dc=com"
authPw="test"
bindDn="dc=testldap,dc=us"
groupMembershipAttribute="member"
groupRoot="ou=CQ,ou=Groups,dc=testldap,dc=com"
groupFilter="(objectclass=group)"
searchTimeout="100"
userIdAttribute="sAMAccountname"
deny_anonymous_access="true"
autocreate="create"
autocreate.lastmodified="whenChanged"
autocreate.user.mail="email"
autocreate.user.sn="cq:last-name"
autocreate.user.givenName="cq:first-name"
autocreate.user.description="aboutMe"
autocreate.user.cn="rep:fullname"
autocreate.group.cn="rep:fullname"
autocreate.group.givenName="cq:first-name"
autocreate.group.mail="email"
autocreate.group.description = "aboutMe"
autocreate.group.localadmin="admin"
autocreate.path="splitdn"
autocreate.syncdelay="1800"
cache.expiration="600"
cache.maxsize="100";
com.day.crx.core.CRXLoginModule required;
};
CQ5.4 y CQ5.5 para su uso con Active Directory
Configuración de Active Directory con sincronización de grupos y usuarios para utilizar con CQ5.4. Para no permitir la sincronización de grupo, establezca la propiedad groupRoot en una OU vacía y existente.
com.day.crx {
com.day.crx.core.CRXLoginModule sufficient
trust_credentials_attribute="TrustedInfo";
com.day.crx.security.ldap.LDAPLoginModule required
principal_provider.class="com.day.crx.security.ldap.principals.LDAPPrincipalProvider"
principal_provider.name="ldapDirectory"
trust_credentials_attribute="TrustedInfo"
host="ldap-server-hostname"
port="389"
authDn="CN=Admin,OU=Users,DC=test,DC=com"
authPw="xxxxxxxxx"
userRoot="OU=Users,DC=test,DC=com"
userIdAttribute="sAMAccountName"
groupRoot="OU=Groups,DC=test,DC=com"
groupMembershipAttribute="member"
autocreate="create"
autocreate.path="none"
autocreate.user.cn="rep:fullname"
autocreate.user.mail="profile/email"
autocreate.user.sn="profile/familyName"
autocreate.user.givenName="profile/givenName"
autocreate.group.cn="rep:fullname"
autocreate.group.mail="profile/email"
cache.expiration="7200"
cache.maxsize="1000"
userFilter="(objectClass=person)"
groupFilter="(objectClass=group)";
};
Se aplica a
CQ 5.1, CQ 5.2.X,
[1] Configuración de LDAP