Подверсия: Apache mod_ldap - 30 секунд для первой аутентификации

Для полноты картины вы должны публиковать свои фактические директивы конфигурации mod_authz_ldap, а не только фрагменты журнала. Для меня это звучит как проблема с DNS где-то между Apache и AD, но без дополнительной информации я не могу быть уверен.

Вам следует попробовать выполнить аутентификацию вручную, используя, например, ldapsearch на CentOS и посмотрите, сможете ли вы воспроизвести проблему на нем. Что-то вроде:

ldapsearch -xLLLZ -D sAMAccountName=myLdapUSer,dc=mycompany,dc=com -W \
 -b dc=mycompany,dc=com -H ldap://10.10.10.11

Похоже на что-то не так с DNS. 30 секунд может быть таймаутом для некоторых запросов DNS на стороне сервера Apache или LDAP. Я бы перепроверил это!

Я бы проверил пакеты сеть, чтобы увидеть, где происходит задержка. Он должен показать вам, требуется ли много времени для возврата ответа DNS, или если ответ LDAP медленный, или если есть какая-то другая задержка, которую вы не ожидали, например, отсылка LDAP, как предлагает DAM.

Учитывая мой опыт работы с «LDAP» Active Directory (и я использую этот термин вольно), это может быть проблема отсылки.

По умолчанию, когда вы подключаетесь к порту 389 на Контроллере каталогов, помимо обычных ответов LDAP вы получаете от ссылки на «directory.ads.example.com». Большинство клиентов LDAP (включая Apache) следуют по направлениям, и если у вас много контроллеров домена, особенно если они географически распределены, то ваш клиент LDAP может быть отправлен в сеть. Однажды у меня был клиент LDAP в Монреале, Канада, который регулярно отправлялся в один из наших DC в Сиднее, Австралия.

Итак, вместо того, чтобы иметь что-то вроде следующего в вашей конфигурации Apache:

AuthLDAPURL ldap://mydc1.example.com/dc=example,dc=com?uid?one

который будет переходить на порт 389, всегда обязательно указывайте порт глобального каталога:

AuthLDAPURL ldap://mydc1.example.com:3268/dc=example,dc=com?uid?one

Если вам нужен SSL, то это порт 3269.