t3quill4b0y Geschrieben 17. Oktober 2008 Geschrieben 17. Oktober 2008 Hi, habe folgendes Problem: [Fri Oct 17 11:45:01 2008] [warn] [client $CLIENT_IP] [28157] auth_ldap authenticate: user $USER authentication failed; URI /awstats [LDAP: ldap_simple_bind_s() failed][Can't contact LDAP server] Wenn ich die Verbindung mit tcpdump aufzeichne, sehe ich foglendes im Wireshark: 9 11:45:01.146288 $CLIENT_IP $SERVER_IP TLSv1 Alert (Level: Fatal, Description: Unknown CA) Ich bekomme also keine Anmeldung hin da LDAP meine Auth-Daten nicht abgleichen kann. Ich komme zu der Stelle wo ich User/Passwort eingeben kann. In der Firewall ist der benötigte Port freigeschalten, ein simpler telnet test tut. apache 2.0.52 openldap 2.2.13 Ich habe zwischenzeitlich auch mal Apache 2.2.10 und openldap 2.4.11 als source gezogen und gebaut. Der Effekt war immer "Internal Server Error". Der Teil ohne Anmeldung lief aber sauber mit diesen Versionen. Hat jemand ne Idee woran das liegen könnte, oder Tips an welcher Stelle ich weitersuchen kann? Gruß und Danke Zitieren
Amstelchen Geschrieben 17. Oktober 2008 Geschrieben 17. Oktober 2008 stell bitte falls möglich die loglevels aller involvierten pakete (also apache und openldap) höher und poste ein logfile auch von openldap. wenn der connect() via telnet klappt, muss das der apache noch lang enicht schaffen. da die verbindung zu openldap hier offensichtlich mittels TLS verschlüsselt wird, und er auch kein bind() zusammenbekommt, vermute ich hier den fehler. s'Amstel Zitieren
t3quill4b0y Geschrieben 17. Oktober 2008 Autor Geschrieben 17. Oktober 2008 Gerne, wenn du mir verrätst, wo ich das loglevel von openldap auf debug schalte. Über google find ich immer nur die loglevel option für slapd, aber der läuft ja gar nicht. Wird imho dafür nicht benutzt. In /etc/openldap/ldpa.conf finde ich keine Schalter zum logging Apache steht schon überall auf debug (Der erste log-auszug is aus error.log von apache) Danke schonmal Zitieren
Amstelchen Geschrieben 17. Oktober 2008 Geschrieben 17. Oktober 2008 wenn openldap nicht über inetd gestartet wird, sollte AFAIR trotzdem der slapd der daemon sein, der für anfragen zuständig ist (und das configfile sollte somit immer slapd.conf sein). da aber der slapd wahrscheinlich über syslog arbeitet, müsstest du auch die syslog facility in der syslog.conf auf ein logfile umbiegen. s'Amstel Zitieren
t3quill4b0y Geschrieben 17. Oktober 2008 Autor Geschrieben 17. Oktober 2008 [Fri Oct 17 15:53:14 2008] [debug] mod_auth_ldap.c(628): [client $CLIEN_IP] [31347] auth_ldap authorise: require group: authorisation successful (attribute member) [Comparison true (cached)][Compare True].c(1745): OpenSSL: Write: SSL negotiation finished successfully Genau das wollte ich doch!! Problem behoben durch foglenden Eintrag in der /etc/openldap/ldap.conf: TLS_REQCERT allow "hard" ist für diesen Schalter standard und wird bei CentOS 4.3 nicht explizit auf allow gesetzt, bei suse (sles9 sp4) allerdings schon weil da tat alles von anfang an Für weitere Infos man ldap.conf Trotzdem Danke BTW: slapd wird dabei wohl nirgends benutzt, wohl eher ldapsearch, oder bentuzt der im hintergrund slapd? Könnte auch sein das das apache modul alles selbst macht Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.