【802.1x案例】SAM+对接LDAP做原生1x认证，大量用户认证慢或认证不上

发布时间：2024-06-18

点击量：129

 RG-SAM+对接LDAP做原生1x认证，大量用户认证慢或认证不上

   关键字：LDAP，802.1X认证

  一、故障现象描述

  RG-SAM+对接LDAP做原生1x认证，大量用户认证慢或认证不上，终端一直显示连接中，SAM+上认证失败日志提示“LDAP服务器连接不上或者LDAP用户备份已过期”

  二、故障排查分析

  1、根据LDAP对接配置确认LDAP是显示可连接，且SAM认证缓冲区正常，因此初步怀疑是SAM到LDAP交互出现异常，需要抓包进一步分析

  2、根据SAM+故障抓包分析如下：

  故障用户在1X认证过程中SAM去ldap进行用户信息查询，ldap超时5s响应（SAM+等待响应超时时间是5S），导致用户认证失败提示LDAP用户备份已过期。从故障日志里查找了多个用户分析都是在ldap信息查询时由于ldap查询信息响应超时导致用户认证失败。

  在该故障报文分析查看时发现也随机存在SAM+响应慢的情况，分析如下：

  根据故障报文分析故障用户xx 在12号18点7分左右进行ldap认证时出现SAM响应radius慢的情况，且该该过程正好是LDAP查询阶段。

  根据SAM+底层日志分析SAM在18:07:45s 49s 54s 均出现了ldap超时5s响应的情况，由于SAM的ldap查询响应超时时间是5s，当A用户的ldap查询响应超时就会导致该线程需要等待5s才能处理下一个用户的ldap查询请求，因此当ldap频繁出现响应超时的情况时，导致SAM在处理认证用户查询ldap阶段需要等待线程释放而出现的radius响应慢的情况。

  三、故障根因说明

  综上分析，目前定位导致大量用户出现1x认证不上，认证慢的原因是LDAP响应超时导致用户认证失败提示“LDAP服务器连接不上或者LDAP用户备份已过期”。同时由于LDAP响应超时导致SAM在处理用户radius报文时也出现慢的情况。

  四、故障解决方案

  1、规避方案：

  （本场景里LDAP是因为并发处理性能不足引起，可使用规避方案）开启ldap 密码定期校验，减少业务过程中SAM并发到LDAP查询的次数，缓解ldap的处理性能。

  2、彻底解决：

  需要LDAP解决超时响应报文的问题。

如遇该情形需要定位解决的可点击链接转：售后闪电兔 处理

• •【经典案例】域用户自动登录失败提示用户名或密码错误

• •【经典案例】域用户自动登录失败提示用户名或密码错误

• •【经典案例】VDI终端或软客户端登陆虚拟机后闪退

• •【经典案例】VDI终端或软客户端登陆虚拟机后闪退

• •【经典案例】8082平台提示错误

• •【经典案例】8082平台提示错误

• •域用户自动登录失败提示：无法使用此凭据登录

• •域用户自动登录失败提示：无法使用此凭据登录

• •【经典案例】云桌面闪屏问题排查

• •【经典案例】云桌面闪屏问题排查