Guide pour résoudre des problèmes LDAP communs dans XWiki

19 août 2021 5 min read
Écrit par Oana Elena Florea, Responsable du support client

LDAP est un protocole d'authentification de réseau informatique ouvert pris en charge par de nombreux services d'annuaire et solutions de gestion des accès. En tant que plate-forme d'entreprise, XWiki est généralement utilisé avec un serveur LDAP pour réutiliser des informations telles que les utilisateurs et les groupes, améliorer la sécurité et gérer facilement la réplication. Notre équipe de support expérimentée souhaite partager avec notre communauté comment résoudre les problèmes LDAP les plus courants dans XWiki.

Comment connecter XWiki à LDAP ?

Pour connecter XWiki à un serveur LDAP, vous pouvez choisir l'une des options suivantes :

  • Configuration manuelle en utilisant l'authentificateur LDAP générique.
  • Pour connecter XWiki à un serveur Active Directory (par exemple un des serveurs d'annuaire qui utilise le protocole LDAP), nous recommandons de choisir l'application dédiée Active Directory Pro Application qui offre un éditeur visuel, des options de configuration avancées et un support technique.

Quels sont les problèmes de configuration les plus courants ?

1. LDAP Invalid Credentials

Pour ce type de problème de connexion, nous avons remarqué sur le support les symptômes communs suivants :

L'utilisateur ne peut pas se connecter.
Pour l'application Active Directory Pro, il y a un message d'erreur lorsqu'on clique pour vérifier la connexion.

LDAPConnectionError.png

  • Les journaux du serveur affichent un message d'erreur mentionnant "Invalid Credentials", par ex.
Caused by: LDAPException: Invalid Credentials (49) Invalid Credentials
LDAPException: Server Message: 80090308: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839

Pour étudier le problème, voici une recommandation de notre équipe de support :

  • Faire un test avec un utilisateur différent pour confirmer que le problème est causé par le mot de passe invalide.
  • Vérifier le mot de passe pour le LDAP bind DN utilisé pour configurer le serveur LDAP. 

2. Certificats LDAP

Les problèmes de certificats peuvent ressembler à des problèmes de connexion car l'utilisateur remarque qu'il ne peut pas se connecter et le message d'erreur "Invalid credentials" peut être présent sur l'interface de connexion XWiki. Cependant, dans ce cas, il y a une erreur spécifique dans les journaux du serveur d'application :

Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path

Notre équipe de support recommande de vérifier auprès de l'équipe d'infrastructure ou de votre fournisseur de services pour mettre à jour le certificat.

3. Mappage des groupes

Pour synchroniser les groupes LDAP avec les groupes XWiki, vous devez ajouter le mappage des groupes dans xwiki.cfg ou utiliser l'éditeur visuel de l'application Active Directory Pro.

Lorsque le groupe n'est pas créé dans le wiki lors de la connexion, notre équipe de support recommande la solution suivante :

  • Vérifiez le DN exact du groupe à partir du serveur Active Directory/LDAP et ajoutez-le à la section de mappage.

ADGroupMapping.png

Conseils et astuces

Avant de commencer toute investigation pour LDAP, notre équipe de support recommande d'activer plus de logs :

  • Ouvrez la section "Global Administration : Logging" sur votre wiki.
  • Recherchez "ldap".
  • Définissez le niveau du journal sur DEBUG.

LDAP-logging.png

  • Refaites le login et vérifiez à nouveau les logs du serveur.

Si vous avez d'autres questions concernant LDAP et XWiki, n'hésitez pas à nous contacter. Écrivez-nous directement à l'adresse mail de support support@xwiki.com ou si vous êtes client, vous pouvez également contacter l'équipe de support via notre portail client - XWiki Network - avec votre compte dédié.

Vous cherchez à vous connecter à Azure ? Jetez un œil à la nouvelle application Microsoft Azure Active Directory Single Sign-On Pro.

Articles similaires :