關鍵字:LDAP,802.1X認證
一、故障現象描述
RG-SAM+對接LDAP做原生1x認證,大量用戶認證慢或認證不上,終端一直顯示連接中,SAM+上認證失敗日志提示“LDAP服務器連接不上或者LDAP用戶備份已過期”
二、故障排查分析
1、根據LDAP對接配置確認LDAP是顯示可連接,且SAM認證緩沖區正常,因此初步懷疑是SAM到LDAP交互出現異常,需要抓包進一步分析
2、根據SAM+故障抓包分析如下:
故障用戶在1X認證過程中SAM去ldap進行用戶信息查詢,ldap超時5s響應(SAM+等待響應超時時間是5S),導致用戶認證失敗提示LDAP用戶備份已過期。從故障日志里查找了多個用戶分析都是在ldap信息查詢時由于ldap查詢信息響應超時導致用戶認證失敗。
在該故障報文分析查看時發現也隨機存在SAM+響應慢的情況,分析如下:
根據故障報文分析故障用戶xx 在12號18點7分左右進行ldap認證時出現SAM響應radius慢的情況,且該該過程正好是LDAP查詢階段。
根據SAM+底層日志分析SAM在18:07:45s 49s 54s 均出現了ldap超時5s響應的情況,由于SAM的ldap查詢響應超時時間是5s,當A用戶的ldap查詢響應超時就會導致該線程需要等待5s才能處理下一個用戶的ldap查詢請求,因此當ldap頻繁出現響應超時的情況時,導致SAM在處理認證用戶查詢ldap階段需要等待線程釋放而出現的radius響應慢的情況。
三、故障根因說明
綜上分析,目前定位導致大量用戶出現1x認證不上,認證慢的原因是LDAP響應超時導致用戶認證失敗提示“LDAP服務器連接不上或者LDAP用戶備份已過期”。同時由于LDAP響應超時導致SAM在處理用戶radius報文時也出現慢的情況。
四、故障解決方案
1、規避方案:
(本場景里LDAP是因為并發處理性能不足引起,可使用規避方案)開啟ldap 密碼定期校驗,減少業務過程中SAM并發到LDAP查詢的次數,緩解ldap的處理性能。
2、徹底解決:
需要LDAP解決超時響應報文的問題。
如遇該情形需要定位解決的可點擊鏈接轉:售后閃電兔 處理
發布時間:2024-06-18
點擊量:129
文檔評價
