關(guān)鍵字:LDAP�����,802.1X認(rèn)證
一����、故障現(xiàn)象描述
RG-SAM+對(duì)接LDAP做原生1x認(rèn)證,大量用戶認(rèn)證慢或認(rèn)證不上,終端一直顯示連接中����,SAM+上認(rèn)證失敗日志提示“LDAP服務(wù)器連接不上或者LDAP用戶備份已過(guò)期”
二、故障排查分析
1�、根據(jù)LDAP對(duì)接配置確認(rèn)LDAP是顯示可連接����,且SAM認(rèn)證緩沖區(qū)正常���,因此初步懷疑是SAM到LDAP交互出現(xiàn)異常,需要抓包進(jìn)一步分析
2、根據(jù)SAM+故障抓包分析如下:
故障用戶在1X認(rèn)證過(guò)程中SAM去ldap進(jìn)行用戶信息查詢�����,ldap超時(shí)5s響應(yīng)(SAM+等待響應(yīng)超時(shí)時(shí)間是5S),導(dǎo)致用戶認(rèn)證失敗提示LDAP用戶備份已過(guò)期���。從故障日志里查找了多個(gè)用戶分析都是在ldap信息查詢時(shí)由于ldap查詢信息響應(yīng)超時(shí)導(dǎo)致用戶認(rèn)證失敗���。
在該故障報(bào)文分析查看時(shí)發(fā)現(xiàn)也隨機(jī)存在SAM+響應(yīng)慢的情況,分析如下:
根據(jù)故障報(bào)文分析故障用戶xx 在12號(hào)18點(diǎn)7分左右進(jìn)行l(wèi)dap認(rèn)證時(shí)出現(xiàn)SAM響應(yīng)radius慢的情況�����,且該該過(guò)程正好是LDAP查詢階段��。
根據(jù)SAM+底層日志分析SAM在18:07:45s 49s 54s 均出現(xiàn)了ldap超時(shí)5s響應(yīng)的情況,由于SAM的ldap查詢響應(yīng)超時(shí)時(shí)間是5s��,當(dāng)A用戶的ldap查詢響應(yīng)超時(shí)就會(huì)導(dǎo)致該線程需要等待5s才能處理下一個(gè)用戶的ldap查詢請(qǐng)求,因此當(dāng)ldap頻繁出現(xiàn)響應(yīng)超時(shí)的情況時(shí)����,導(dǎo)致SAM在處理認(rèn)證用戶查詢ldap階段需要等待線程釋放而出現(xiàn)的radius響應(yīng)慢的情況�。
三���、故障根因說(shuō)明
綜上分析���,目前定位導(dǎo)致大量用戶出現(xiàn)1x認(rèn)證不上,認(rèn)證慢的原因是LDAP響應(yīng)超時(shí)導(dǎo)致用戶認(rèn)證失敗提示“LDAP服務(wù)器連接不上或者LDAP用戶備份已過(guò)期”。同時(shí)由于LDAP響應(yīng)超時(shí)導(dǎo)致SAM在處理用戶radius報(bào)文時(shí)也出現(xiàn)慢的情況�����。
四、故障解決方案
1��、規(guī)避方案:
(本場(chǎng)景里L(fēng)DAP是因?yàn)椴l(fā)處理性能不足引起����,可使用規(guī)避方案)開(kāi)啟ldap 密碼定期校驗(yàn),減少業(yè)務(wù)過(guò)程中SAM并發(fā)到LDAP查詢的次數(shù)��,緩解ldap的處理性能����。
2、徹底解決:
需要LDAP解決超時(shí)響應(yīng)報(bào)文的問(wèn)題��。
如遇該情形需要定位解決的可點(diǎn)擊鏈接轉(zhuǎn):售后閃電兔 處理
發(fā)布時(shí)間:2024-06-18
點(diǎn)擊量:129
文檔評(píng)價(jià)
