【原创分享】sslvpn与ldap对接后，高并发登录时经常提示用户名或者密码错误

一、问题现象：

sslvpn对接openldap服务器，高并发登录时，好多用户提示用户名或者密码错误，无法登录成功

二、排查过程：

1、确认环境

某高校使用的正方统一认证平台，为了取出用户信息与vpn对接，搭建了一台openldap服务器，通过正方统一认证平台，将用户信息同步到ldap服务器，然后vpn再与ldap服务器做对接。

2、确认了用户信息是从正方平台同步过来了，使用vpn的用户名密码登录校园统一认证平台，可以认证通过，排除用户名密码错误问题

3、分析正常登录与登录失败时抓取数据包，分析如下：

异常用户：

正常数据：

4、通过抓包及日志分析怀疑ldap服务器认证超时没有将认证信息返回给vpn，导致认证失败

5、通过ldapadmin客户端连接ldap正常，对比sslvpn管理员全路径(DN)一致，确认组织框架也不大

5、登录ldap服务器查看服务器CPU状态，发现slap进程占用CPU太高，怀疑服务器性能不足，协商增加ldap服务器的配置，并重启，发现cpu还是很高

6、协调ldap人员排查slapd进程高的原因，最终结果为创建ldap时，没有对ldap进行优化，导致vpn进行认证时损耗服务器大量的性能，使认证信息同步不过来，导致认证失败。

三、解决办法：对ldap服务器进行优化，创建以UID为索引的检索，并调整配置后，测试登录vpn时，ldap服务器CPU正常

四、根本原因：ldap配置问题，大并发情况下，导致服务器无法响应

感谢楼主的精彩分享，通过抓包来协助定位到是LDAP未返回认证结果，最后定位到是LDAP服务器性能的问题，整个排查思路非常好，是值得学习的优秀案例。

您好，感谢您参与社区原创分享计划7，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，奖励将在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

高手，学习学习

排查思路很明确，帮助很大

实践出真知，并发大才能发现，我们小公司十几个并发量，用txt是不是都行

感谢楼主精彩的分享！针对ad对接问题，多采用抓包进行数据，对比服务端及客户端数据差异性进行定位问题。本文章思路清晰，抓包分析认证超时，从而进一步根据服务器cpu状态定位到相关进程从而优化，具有参考价值，点赞

学习不是看处理结果，学习处理思路和过程最重要

感谢分享

感谢分享