Apache 2.0 Basic Auth mit mod_ldap

Software besorgen und anwenden
Antworten
Nachricht
Autor
The_Bender
Beiträge: 2
Registriert: 26. Sep 2008 8:41

Apache 2.0 Basic Auth mit mod_ldap

#1 Beitrag von The_Bender » 17. Okt 2008 14:09

Hi,

my first Post here ;)

Also ich habe foglendes Problem mit apache 2.0.52 und openldap 2.2.13.
Apache error.log:

Code: Alles auswählen

[Fri Oct 17 11:45:01 2008] [warn] [client $CLIENT_IP] [28157] auth_ldap authenticate: user $USER authentication failed; URI /awstats [LDAP: ldap_simple_bind_s() failed][Can't contact LDAP server]
Folgendes habe ich mitgesniffert:

Code: Alles auswählen

9	11:45:01.146288	$CLIENT_IP	$SERVER_IP	TLSv1	Alert (Level: Fatal, Description: Unknown CA)
Äussert sich so, das ich immer wieder den Passwort Dialog im Browser bekomme.
In der Firewall ist der benötigte Port freigeschalten, ein simpler telnet test tut. Eigenlich erreiche ich beide Ports 389 und 636 Will aber unbedingt ldaps/TLS



Ich habe zwischenzeitlich auch mal Apache 2.2.10 und openldap 2.4.11 als source gezogen und gebaut. Der Effekt war immer "Internal Server Error". Der Teil ohne Anmeldung lief aber sauber mit diesen Versionen. Aktuell läuft wieder der apache 2.0 mit auth per htpasswd...

Hat jemand ne Idee woran das liegen könnte, oder Tips an welcher Stelle ich weitersuchen kann?

Gruß und danke.

The_Bender
Beiträge: 2
Registriert: 26. Sep 2008 8:41

#2 Beitrag von The_Bender » 17. Okt 2008 15:10

Problem solved:

Code: Alles auswählen

[Fri Oct 17 15:53:14 2008] [debug] mod_auth_ldap.c(628): [client $CLIEN_IP] [31347] auth_ldap authorise: require group: authorisation successful (attribute member) [Comparison true (cached)][Compare True].c(1745): OpenSSL: Write: SSL negotiation finished successfully
Durch foglenden Eintrag in der /etc/openldap/ldap.conf:

Code: Alles auswählen

TLS_REQCERT allow
"hard" ist für diesen Schalter standard und wird bei CentOS 4.3 nicht explizit auf allow gesetzt, bei suse (sles9 sp4) allerdings schon weil da tat alles von anfang an (auch auf verschiedenen maschinen) :(

Für weitere Infos

Code: Alles auswählen

man ldap.conf
Trotzdem Danke

Antworten