Dans le cadre d'une organisation utilisant LDAP pour authentifier les personnes souhaitant accéder a l'interface d'administration des différentes passerelles SBC 2000 et 1000 présent dans le design, un des administrateurs est systématiquement incapable de s'authentifier.
Cet administrateur fait partie du groupe AD défini dans les passerelles et j'observe dans les logs sbc que le processus est exécuté lors de la phase d'authentification.
Dans la configuration représentant la communication entre la passerelle et les controleurs de domaine, le paramètre "Server Timeout" est défini a 15 secondes, étant la valeur maximale.
Les logs montrent aussi le début du processus lors de la phase d'authentification a 13:43:59,304
[2017-12-08 13:43:59,304] 4252 0012 com.sonus.sbc.ads.libcommon DEBUG (AFSessionManagementLayer.cpp:651) - SMConnection: Received REQ: id=14:0/32797/0 session bit=0 moredata bit=0 message=MSG_ADS_USER_GROUPS_QUERY
...
et le timeout a 13:44:16,601, étant d'un peu plus de 17 secondes, dépassant la valeur maximale possible dans la configuration
[2017-12-08 13:44:16,601] 2411 0004 com.sonus.sbc.ads INFO (ActiveDirectoryWorker.cpp:374) - threadID (0x41cc0520): AD returning due to UAS_RESPONSE_TIMEOUT timeout value being reached: 19465076
La différence pour cette utilisateur est le nombre important de groupe AD attribuer a son identité.
Résolution:
Naviguer vers Auth and Directory Services > Active Directory > Configuration.
Mettre la configuration Nested Group Lookup for Authentication a la valeur "false"
et cela fonctionne!
Nested Group Lookup for Authentication
Specifies whether or not nested group lookups are performed to authorize users. Applies only to authentication domain controllers.
