neonknight
17.02.06, 15:15
Hallo
Ich habe hier einen Debian sarge Server mit Apache 2, openLDAP und Samba. Samba ist ein PDC nutzt openLDAP als Backend. Das funktioniert soweit auch. LDAP ist genau nach Anleitung von Idealx aufgesetzt, also ziemlich standardisiert.
Nun möchte ich auch mit Apache gegen diesen LDAP-Server authentifizieren. Also habe ich das auth_ldap Modul geladen und entsprechend konfiguriert. Für die Abfrage nach einzelnen Benutzern oder allen Benutzern funktioniert das auch mit dieser .htaccess:
require valid-user
AuthLDAPURL ldap://localhost:389/ou=Users,dc=xxx,dc=xxx,dc=xxx?uid
Das ist ja schon mal gut, aber nicht überall optimal. Für einige Verzeichnisse eine Abfrage nach Gruppen eigentlich die bessere Lösung. Nur leider funktioniert das nicht.
Die .htaccess sieht so aus:
require group cn=Administrators,ou=Groups,dc=xxx,dc=xxx,dc=xxx
AuthLDAPUrl ldap://localhost:389/ou=Users,dc=xxx,dc=xxx,dc=xxx?uid
AuthLDAPGroupAttribute memberUid
Der gewünschte Nutzer ist auch wirklich in dieser Gruppe, daran krankt es also nicht. Interessant ist das Logverhalten von Apache: Obwohl der Browser ein Login Failed ausgibt, schreibt Apache einen erfolgten Zugriff ins access_log und nicht eine brauchbare Fehlermeldung ins error_log. Das error_log bleibt schlichtwegs unverändert. Bei falschen Benutzerangaben wird jedoch korrekt nach error_log geschrieben.
Sieht jemand meinen Fehler?
Ist das auth_ldap Modul von Debian 3.1 nicht zu openLDAP kompatibel? Es scheint ja mehrere solcher Module zu geben mit unterschiedlichem funktionsumfang.
Gibt es allenfalls andere Möglichkeiten die Apache-Authentifizierung an die Samba-Datenbank zu binden?
Ich habe hier einen Debian sarge Server mit Apache 2, openLDAP und Samba. Samba ist ein PDC nutzt openLDAP als Backend. Das funktioniert soweit auch. LDAP ist genau nach Anleitung von Idealx aufgesetzt, also ziemlich standardisiert.
Nun möchte ich auch mit Apache gegen diesen LDAP-Server authentifizieren. Also habe ich das auth_ldap Modul geladen und entsprechend konfiguriert. Für die Abfrage nach einzelnen Benutzern oder allen Benutzern funktioniert das auch mit dieser .htaccess:
require valid-user
AuthLDAPURL ldap://localhost:389/ou=Users,dc=xxx,dc=xxx,dc=xxx?uid
Das ist ja schon mal gut, aber nicht überall optimal. Für einige Verzeichnisse eine Abfrage nach Gruppen eigentlich die bessere Lösung. Nur leider funktioniert das nicht.
Die .htaccess sieht so aus:
require group cn=Administrators,ou=Groups,dc=xxx,dc=xxx,dc=xxx
AuthLDAPUrl ldap://localhost:389/ou=Users,dc=xxx,dc=xxx,dc=xxx?uid
AuthLDAPGroupAttribute memberUid
Der gewünschte Nutzer ist auch wirklich in dieser Gruppe, daran krankt es also nicht. Interessant ist das Logverhalten von Apache: Obwohl der Browser ein Login Failed ausgibt, schreibt Apache einen erfolgten Zugriff ins access_log und nicht eine brauchbare Fehlermeldung ins error_log. Das error_log bleibt schlichtwegs unverändert. Bei falschen Benutzerangaben wird jedoch korrekt nach error_log geschrieben.
Sieht jemand meinen Fehler?
Ist das auth_ldap Modul von Debian 3.1 nicht zu openLDAP kompatibel? Es scheint ja mehrere solcher Module zu geben mit unterschiedlichem funktionsumfang.
Gibt es allenfalls andere Möglichkeiten die Apache-Authentifizierung an die Samba-Datenbank zu binden?