Zum Inhalt springen

Apache 2.0 Basic auth mit mod_ldap


Empfohlene Beiträge

Geschrieben

Hi,

habe folgendes Problem:

[Fri Oct 17 11:45:01 2008] [warn] [client $CLIENT_IP] [28157] auth_ldap authenticate: user $USER authentication failed; URI /awstats [LDAP: ldap_simple_bind_s() failed][Can't contact LDAP server]

Wenn ich die Verbindung mit tcpdump aufzeichne, sehe ich foglendes im Wireshark:
9	11:45:01.146288	$CLIENT_IP	$SERVER_IP	TLSv1	Alert (Level: Fatal, Description: Unknown CA)

Ich bekomme also keine Anmeldung hin da LDAP meine Auth-Daten nicht abgleichen kann. Ich komme zu der Stelle wo ich User/Passwort eingeben kann.

In der Firewall ist der benötigte Port freigeschalten, ein simpler telnet test tut.

apache 2.0.52

openldap 2.2.13

Ich habe zwischenzeitlich auch mal Apache 2.2.10 und openldap 2.4.11 als source gezogen und gebaut. Der Effekt war immer "Internal Server Error". Der Teil ohne Anmeldung lief aber sauber mit diesen Versionen.

Hat jemand ne Idee woran das liegen könnte, oder Tips an welcher Stelle ich weitersuchen kann?

Gruß und Danke

Geschrieben

stell bitte falls möglich die loglevels aller involvierten pakete (also apache und openldap) höher und poste ein logfile auch von openldap. wenn der connect() via telnet klappt, muss das der apache noch lang enicht schaffen. da die verbindung zu openldap hier offensichtlich mittels TLS verschlüsselt wird, und er auch kein bind() zusammenbekommt, vermute ich hier den fehler.

s'Amstel

Geschrieben

Gerne, wenn du mir verrätst, wo ich das loglevel von openldap auf debug schalte. Über google find ich immer nur die loglevel option für slapd, aber der läuft ja gar nicht. Wird imho dafür nicht benutzt. In /etc/openldap/ldpa.conf finde ich keine Schalter zum logging :(

Apache steht schon überall auf debug (Der erste log-auszug is aus error.log von apache)

Danke schonmal

Geschrieben

wenn openldap nicht über inetd gestartet wird, sollte AFAIR trotzdem der slapd der daemon sein, der für anfragen zuständig ist (und das configfile sollte somit immer slapd.conf sein).

da aber der slapd wahrscheinlich über syslog arbeitet, müsstest du auch die syslog facility in der syslog.conf auf ein logfile umbiegen.

s'Amstel

Geschrieben

[Fri Oct 17 15:53:14 2008] [debug] mod_auth_ldap.c(628): [client $CLIEN_IP] [31347] auth_ldap authorise: require group: authorisation successful (attribute member) [Comparison true (cached)][Compare True].c(1745): OpenSSL: Write: SSL negotiation finished successfully
Genau das wollte ich doch!! Problem behoben durch foglenden Eintrag in der /etc/openldap/ldap.conf:
TLS_REQCERT allow

"hard" ist für diesen Schalter standard und wird bei CentOS 4.3 nicht explizit auf allow gesetzt, bei suse (sles9 sp4) allerdings schon weil da tat alles von anfang an :( Für weitere Infos
man ldap.conf

Trotzdem Danke

BTW: slapd wird dabei wohl nirgends benutzt, wohl eher ldapsearch, oder bentuzt der im hintergrund slapd? Könnte auch sein das das apache modul alles selbst macht :)

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...