JBoss EAP 6/7 LdapExtended login-module 搜索组需要很长时间

如何解决JBoss EAP 6/7 LdapExtended login-module 搜索组需要很长时间

JBoss EAP 6.4（与 7.3 相同） 我已经实现了以下安全域：

           <security-domain name="ActiveDirectory" cache-type="default">
                <authentication>
                    <login-module code="LdapExtended" flag="required">
                        <module-option name="java.naming.factory.initial" value="com.sun.jndi.ldap.LdapCtxFactory"/>
                        <module-option name="java.naming.provider.url" value="ldap://172.16.104.204:389"/>
                        <module-option name="baseCtxDN" value="dc=conaddeltirreno,dc=it"/>
                        <module-option name="baseFilter" value="(sAMAccountName={0})"/>
                        <module-option name="rolesCtxDN" value="dc=conaddeltirreno,dc=it"/>
                        <module-option name="roleFilter" value="(member={1})"/> -->
                        <module-option name="roleAttributeID" value="memberOf"/>
                        <module-option name="roleNameAttributeID" value="cn"/>
                        <module-option name="roleAttributeIsDN" value="true"/>
                        <module-option name="allowEmptyPasswords" value="false"/>
                        <module-option name="throwValidateError" value="true"/>
                        <module-option name="searchScope" value="SUBTREE_ScopE"/>
                        <module-option name="java.naming.referral" value="follow"/>
                        <module-option name="bindDN" value="cn=***,CN=USERS,DC=CONADDELTIRRENO,DC=IT"/>
                        <module-option name="bindCredential" value="***"/>
                    </login-module>
                </authentication>
                <authorization>
                    <policy-module code="Delegating" flag="required"/>
                </authorization>
            </security-domain>

当应用程序使用此安全域登录时，身份验证需要几分钟才能完成。 我已经看到大部分时间都花在了寻找组的下一阶段：

2021-01-18 15:23:01,958 TRACE [org.jboss.security] (default task-1) PBox00268: Assigning user to role TUTTI
...
2021-01-18 15:23:10,099 TRACE [org.jboss.security] (default task-1) PBox00268: Assigning user to role gitlab-dev
2021-01-18 15:24:01,579 DEBUG [io.undertow.request] (default I/O-13) Timing out idle connection from /127.0.0.1:49300
2021-01-18 15:27:31,988 TRACE [org.jboss.security] (default task-1) PBox00241: End login method,isValid: true
2021-01-18 15:27:31,989 TRACE [org.jboss.security] (default task-1) PBox00242: Begin commit method,overall result: true

如果我删除 roleFilter 选项，身份验证是即时的，但显然它不会返回用户的成员资格组。

请注意，搜索库是域的根目录，不幸的是我不能这样做（用户和组可以在不同的组织单位中）。

使用 DirectoryStudio 测试的相同 roleFilter 过滤器查询会在不到一秒的时间内返回结果。

是否有配置错误？

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。