Suse 10.2 Apache Ldap-Abfrage funktioniert nicht mit Gruppen
Hallo,
dieser Konfiguration funktioniert einwandfrei.
Ich gehe auf die Webseite, bekomme die Login-Box, melde mich an und sehe
dann die eiugentliche Webseite
Hallo, On 1/15/2007 9:45 PM, Ralf Prengel wrote:
Hallo,
dieser Konfiguration funktioniert einwandfrei. Ich gehe auf die Webseite, bekomme die Login-Box, melde mich an und sehe dann die eiugentliche Webseite
Options Indexes FollowSymLinks AllowOverride None AuthName "rprengel-srvmail" AuthType Basic AuthBasicProvider ldap AuthLDAPBindDN "cn=manager,dc=rprengel,dc=de" AuthLDAPBindPassword xxx AuthLDAPURL "ldap://192.168.2.2:389/dc=rprengel,dc=de?uid?sub?" require ldap-user rprengel
Nach meiner Apache-Doku heisst das, das die Nutzer rprengel und ldap-user Zugriff haben.
</Directory>
Diese Variante klappt nicht. Die Login-Box erscheint aber das Login klappt nicht mehr. Offenbar klappt es nicht auszuwerten das der Userd er Gruppe angehört. Besonderheit: Ich arbeite mit lam und damit mit dem nis-schema und nicht mit dem von Suse geplanten rfc Schema. Ich habe schon in diversen einschlägigen Foren gesucht und gefragt aber leider keine Lösung gefunden
Options Indexes FollowSymLinks AllowOverride None AuthName "rprengel-srvmail" AuthType Basic AuthBasicProvider ldap AuthLDAPBindDN "cn=manager,dc=rprengel,dc=de" AuthLDAPBindPassword xxx AuthLDAPURL "ldap://192.168.2.2:389/dc=rprengel,dc=de?uid?sub?" require ldap-group cn=webuser
Logischerweise nicht, s.o.
<Directory >
Ich habe hier folgendes Konstrukt im Einsatz: AuthName "xxx-Monitoring" AuthType Basic require valid-user AuthLDAPURL ldap://localhost:389/ou=people,dc=lehleute,dc=de?uid?sub?(objectClass=deitsMonitoringContact) (gekürzt) Der Trick ist dass die ldap-Anfrage keine Nutzernamen oder so zurückgibt; zuerst wird mit dem gegebenen Query-String gesucht. Wenn ein Ergebnis gefunden wird wird ein ldapBind versucht. Wenn das geht liegt ein "valid user" vor. Sprich, wenn du mit einer Gruppenzugehörig authorisieren willst musst du es entweder ähnlich wie ich machen, oder mit "require group" arbeiten. Nun kann das mit anderen ldap-auth modulen natürlich anders geöst sein, daher: Hier läuft apache 2.0.50 mit mod_auth_ldap aber ich bin relativ sicher dass bei neueren SuSEs die module anders sind. Arno -- IT-Service Lehmann al@its-lehmann.de Arno Lehmann http://www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Arno Lehmann wrote:
Nun kann das mit anderen ldap-auth modulen natürlich anders geöst sein, daher: Hier läuft apache 2.0.50 mit mod_auth_ldap aber ich bin relativ sicher dass bei neueren SuSEs die module anders sind.
Arno
nach langem Basteln
mit dem Syntax unten läuft es wenn in
cn=webuser,ou=group,dc=rprengel,dc=de
die memberUid mit uid=rprengel,ou=people,dc=rprengel,dc=de
eingetragen wird
Das habe ich heute schon mal irgendwo gelesen.
Mal sehen ob ich das morgen noch finde.
Ralf Prengel wrote:
AuthLDAPBindPassword Dog3Cat
Man gut das es nur Testkennwörter sind. Wird Zeit schlafen zu gehen ;-) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
* Ralf Prengel wrote on Tue, Jan 16, 2007 at 00:50 +0100:
Ralf Prengel wrote:
AuthLDAPBindDN "cn=manager,dc=rprengel,dc=de" AuthLDAPBindPassword [iss ja auch egal]
Man gut das es nur Testkennwörter sind.
Kein Problem, hab's Passwort gleich mal geändert. lol SCNR :) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Arno Lehmann
-
Ralf Prengel
-
Steffen Dettmer