4.3.9. 故障排除
-
将类别
org.keycloak.storage.ldap的日志级别增加到 TRACE。在日志中增加这个级别
将类别 org.keycloak.storage.ldap 的日志级别增加到 TRACE。您可以在 standalone (-ha.xml 文件中的 logging 子系统中提高此级别。通过这个设置,许多日志消息发送到 TRACE 级别的 server.log 文件,包括所有对 LDAP 服务器和参数(用于发送查询)的日志记录。当您在用户论坛或 JIRA 上创建任何 LDAP 问题时,请考虑将服务器日志与已启用 TRACE 日志记录连接。如果情况太大,则好的替代方案是将服务器日志中的代码片段包含在操作期间添加到日志中,这会导致问题所在。
创建 LDAP 供应商时,服务器日志中会出现从以下内容开始的信息:
When you create LDAP provider, message appear in the server log in the INFO level starting with:
Creating new LDAP Store for the LDAP storage provider: ...
它显示了您的 LDAP 供应商的配置。在您提出问题或报告错误前,最好包含此消息来显示您的 LDAP 配置。最后,可以随意替换一些您不需要的配置更改,并附带一些占位符值。一个例子是 bindDn=some-placeholder。对于 connectionUrl,请随时替换它,但至少包含协议(ldap 和 ldaps)是非常有用的。同样,包含配置 LDAP 映射的详情(这些映射会在 DEBUG 级别显示)时很有用:
Mapper for provider: XXX, Mapper name: YYY, Provider: ZZZ ...
请注意,这些消息只会显示启用的 DEBUG 日志记录。
-
要跟踪性能或连接池问题,请考虑设置属性
Pool Debug Level的值。
为跟踪性能或连接池问题,请考虑将 LDAP 提供商 的属性 Pool Debug Level 的值设置为 all。这将添加很多额外的信息,以便记录 LDAP 连接池包含的日志。这可用于跟踪与连接池或性能相关的问题。
更改连接池的配置后,您可能需要重启 Keycloak 服务器,以强制重新初始化 LDAP 供应商连接。
如果即使服务器重启后没有更多消息用于连接池,这可能表示连接池无法用于您的 LDAP 服务器。
-
如需报告 LDAP 问题,您可能会考虑为目标数据附加部分 LDAP 树,这会导致您的环境出现问题。例如,如果某些用户登录时需要很多时间,您可以考虑附加显示各种"group"条目
的成员属性计数的 LDAP 条目。在这种情况下,如果这些组条目映射到 Red Hat Single Sign-On 等某些组 LDAP 映射(或角色 LDAP 映射程序)时,添加可能很有用。
如需报告 LDAP 问题,您可能会考虑为目标数据附加部分 LDAP 树,这会导致您的环境出现问题。例如,如果某些用户登录时需要很多时间,您可以考虑附加显示各种"group"条目 的成员 属性计数的 LDAP 条目。在这种情况下,如果这些组条目映射到 Red Hat Single Sign-On 中的一些组 LDAP 映射(或角色 LDAP 映射程序),那么添加可能很有用。
