在 MSAD Provider 上使用多个 ldap 服务器的 OBIEE 12c 问题

Posted 2023-02-27

【中文标题】在 MSAD Provider 上使用多个 ldap 服务器的 OBIEE 12c 问题

【英文标题】：OBIEE 12c issue using multiple ldap servers on MSAD Provider

【发布时间】：2018-12-29 09:31:57

【问题描述】：

我正在使用 OBIEE 12c 进行 BI 分析。通过创建 MSAD_Provider 在 WebLogic 中设置 LDAP 身份验证。

安全领域 -> myrealm -> 提供者 -> MSAD_Provider

在Configuration->Common下，我设置：

控制标志 = SUFFICIENT

在 Configuration -> Provider Specific 下，有以下设置：

连接

主机：ldap1.domain.com ldap2.domain.com

端口：389

主体：对用户和组具有管理员/读取权限的 AD 用户 信息。

凭据：上面指定的主要用户的密码。

用户

用户基础 DN：所有用户都存在的 OU。

所有用户过滤器：(&(sAMAccountName=*)(objectclass=user))

来自名称过滤器的用户：(&(sAMAccountName=%u)(objectclass=user))

用户搜索范围：子树

用户名属性：sAMAccountName

用户对象类：用户

组

Group Base DN：所有组都存在的 OU。

所有组过滤器：(&(CN=*)(objectclass=group))

来自名称过滤器的组：(&(CN=%g)(objectclass=group))

组搜索范围：子树

组成员搜索：无限制

最大组成员搜索级别：10

一般

连接超时：30

连接重试限制：1

并行连接延迟：0

结果时间限制：0

保存并应用所有更改后，我该测试一下 LDAP 服务器是否可以在其中一个无法运行时进行故障转移。

我了解左侧的主机 (ldap1) 始终是 OBIEE 将进行身份验证的主服务器。如果主服务器关闭，OBIEE 将验证右侧的辅助服务器 (ldap2)。不幸的是，当 ldap1 关闭并且我使用我的 AD 用户登录 OBIEE 页面时，它将永远加载一个白色页面。有趣的是，当 ldap1 仍处于启动状态而 ldap2 处于关闭状态时，它还会继续加载一个白页。这是一种奇怪的情况，辅助服务器关闭而主服务器启动会影响身份验证。

我想寻求解决此问题的建议。

【参考方案1】：

如果您有 2 个以上的提供程序，则必须将两者（或“全部”）设置为 SUFFICIENT，因为 WLS 会按照您配置的顺序解析它们。

例如 1 = LDAP1、2 = LDAP2、3 = DefaultAuthenticator。

此外，您必须为 WLS 配置 virtualize = true 参数才能真正循环遍历所有提供者，而不仅仅是在第一个提供者之后停止。

【讨论】：

我们设置 virtualize = true。您的意思是我应该为 ldap2 创建另一个 MSAD_Provider，而不是在一个 MSAD_Provider 中填充多个主机？

是的。您的领域中的每个来源都需要一个提供者。

我拆分为 MSAD_Provider 和 MSAD_Provider2，无济于事。我是否必须查看任何日志才能了解发生了什么？

是的，您可以将日志记录提高到 32 - 此处解释了进程：community.oracle.com/docs/DOC-994048 它适用于 11g，但日志级别配置相同