【802.1x案例】SAM+对接LDAP做原生1x认证，大量用户认证慢或认证不上

颁布功夫：2024-06-18

点击量：129

 RG-SAM+对接LDAP做原生1x认证，大量用户认证慢或认证不上

   关键字：LDAP，802.1X认证

  一、故障景象描述

  RG-SAM+对接LDAP做原生1x认证，大量用户认证慢或认证不上，终端一向显示衔接中，SAM+上认证失败日志提醒“LDAP服务器衔接不上或者LDAP用户备份已过期”

  二、故障排查分析

  1、凭据LDAP对接配置确认LDAP是显示可衔接，且SAM认证缓冲区正常，因而初步疑惑是SAM到LDAP交互出现异常，必要抓包进一步分析

  2、凭据SAM+故障抓包分析如下：

  故障用户在1X认证过程中SAM去ldap进行用户信息查问，ldap超时5s响应（SAM+期待响应超不断间是5S），导致用户认证失败提醒LDAP用户备份已过期。从故障日志里查找了多个用户分析都是在ldap信息查问时由于ldap查问信息响应超时导致用户认证失败。

  在该故障报文分析查看时发现也随机存在SAM+响应慢的情况，分析如下：

  凭据故障报文分析故障用户xx 在12号18点7分左右进行ldap认证时出现SAM响应radius慢的情况，且该该过程正好是LDAP查问阶段。

  凭据SAM+底层日志分析SAM在18:07:45s 49s 54s 均出现了ldap超时5s响应的情况，由于SAM的ldap查问响应超不断间是5s，当A用户的ldap查问响应超时就会导致该线程必要期待5s能力处置下一个用户的ldap查问要求，因而当ldap频仍出现响应超时的情况时，导致SAM在处置认证用户查问ldap阶段必要期待线程开释而出现的radius响应慢的情况。

  三、故障根因注明

  综上分析，目前定位导致大量用户出现1x认证不上，认证慢的原因是LDAP响应超时导致用户认证失败提醒“LDAP服务器衔接不上或者LDAP用户备份已过期”。同时由于LDAP响应超时导致SAM在处置用户radius报文时也出现慢的情况。

  四、故障解决规划

  1、躲避规划：

  （本场景里LDAP是由于并发处置机能不及引起，可使用躲避规划）开启ldap 密码定期校验，削减业务过程中SAM并发到LDAP查问的次数，缓解ldap的处置机能。

  2、彻底解决：

  必要LDAP解决超时响应报文的问题。

如遇该情景必要定位解决的可点击链接转：售后闪电兔 处置

• ?【经典案例】域用户自动登录失败提醒用户名或密码谬误

• ?【经典案例】域用户自动登录失败提醒用户名或密码谬误

• ?【经典案例】VDI终端或软客户端登陆虚构机后闪退

• ?【经典案例】VDI终端或软客户端登陆虚构机后闪退

• ?【经典案例】8082平台提醒谬误

• ?【经典案例】8082平台提醒谬误

• ?域用户自动登录失败提醒：无法使用此痛处登录

• ?域用户自动登录失败提醒：无法使用此痛处登录

• ?【经典案例】云桌面闪屏问题排查

• ?【经典案例】云桌面闪屏问题排查