PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LDAP Authentifizerung via mail Attribute an Apache



Karanosov
07.06.09, 16:30
Hallo zusammen,

ich versuche gerade unseren Apache Server auf LDAP Authentifizierung umzustellen. Das klappt auch über das uid Attribut sehr gut.

Nun will ich den Server so umstellen, dass sich die Benutzer mit Ihrer E-Mail Adresse anmelden und nicht mit der uid. Dies funktioniert nicht so richtig, der apache findet den User dann leider nicht. Vielleicht habt ihr ja eine idee.

Anbei meine Konfigs.

LDAP Userdaten:


dn: uid=max,ou=people,dc=mydomain,dc=com
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
objectClass: inetOrgPerson
cn: Max Mustermann
sn: Mustermann
ou: admin
gecos: Max Mustermann
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
mail: max@mydomain.com
uidNumber: 1000
homeDirectory: /home/max
uid: max
gidNumber: 1011


Apache Konfig. via LDAP mit mail attrib. (geht nicht)


AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthType Basic
AuthName "Web - LDAP Anmeldung"
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN off
AuthLDAPURL "ldap://127.0.0.1:389/dc=mydomain,dc=com?mail"
Require ldap-group cn=admins,ou=group,dc=mydomain,dc=com


Apache Konfig. via LDAP mit uid attrib. (geht)


AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthType Basic
AuthName "Web - LDAP Anmeldung"
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN off
AuthLDAPURL "ldap://127.0.0.1:389/dc=mydomain,dc=com?uid?sub"
Require ldap-group cn=admins,ou=group,dc=mydomain,dc=com


Fehlermeldung im Apache:


[Sun Jun 07 16:12:19 2009] [warn] [client 10.200.200.1] [25987] auth_ldap authenticate: user max@mydomain.com authentication failed; URI /test [User not found][No such object]
[Sun Jun 07 16:12:19 2009] [error] [client 10.200.200.1] user max@mydomain.com not found: /testl


Vielleicht habt ihr ja eine Idee.

Vielen Dank vorab.

Karanosov
07.06.09, 17:18
Hi,

einen kleinen Fehler hab ich noch gefunden, ich hatte vergessen den subtree mit einzutragen. Allerdings kann er wohl nicht die E-Mail Adresse zur Gruppe zuordnen:

HTTP Conf:


AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthType Basic
AuthName "Web - LDAP Anmeldung"
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN off
AuthLDAPURL "ldap://127.0.0.1:389/dc=mydomain,dc=com?mail?sub"
Require ldap-group cn=admins,ou=group,dc=mydomain,dc=com


Apache Fehler im debug mode:


[Sun Jun 07 17:13:03 2009] [debug] mod_authnz_ldap.c(377): [client 10.200.200.1] [15677] auth_ldap authenticate: using URL ldap://127.0.0.1:389/dc=mydomain,dc=com?mail?sub, referer: http://srv-lvps01/index.php/Linkliste
[Sun Jun 07 17:13:03 2009] [debug] mod_authnz_ldap.c(474): [client 10.200.200.1] [15677] auth_ldap authenticate: accepting max@mydomain.com, referer: http://srv-lvps01/index.php/Linkliste
[Sun Jun 07 17:13:03 2009] [debug] mod_authnz_ldap.c(715): [client 10.200.200.1] [15677] auth_ldap authorise: require group: testing for group membership in "cn=admins,ou=group,dc=mydomain,dc=com", referer: http://srv-lvps01/index.php/Linkliste
[Sun Jun 07 17:13:03 2009] [debug] mod_authnz_ldap.c(721): [client 10.200.200.1] [15677] auth_ldap authorise: require group: testing for memberUid: max@mydomain.com (cn=admins,ou=group,dc=projekt-linux,dc=de), referer: http://srv-lvps01/index.php/Linkliste
[Sun Jun 07 17:13:03 2009] [debug] mod_authnz_ldap.c(737): [client 10.200.200.1] [15677] auth_ldap authorise: require group "cn=admins,ou=group,dc=projekt-linux,dc=de": authorisation failed [Comparison false (adding to cache)][Compare False], referer: http://srv-lvps01/index.php/Linkliste
[Sun Jun 07 17:13:03 2009] [debug] mod_authnz_ldap.c(852): [client 10.200.200.1] [15677] auth_ldap authorise: authorisation denied, referer: http://srv-lvps01/index.php/Linkliste


MfG
Karanosov