sslug-teknik team mailing list archive

Thread
Date

Re: Apache og LDAP auth driller

To: sslug-teknik@xxxxxxxx
From: Kenneth Ahn Jensen <jakabov@xxxxxxx>
Date: Tue, 30 May 2006 10:19:51 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <pan.2006.05.30.06.01.11.109000@arvin.dk>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG
User-agent: Thunderbird 1.5.0.2 (X11/20060501)

Troels Arvin wrote:

LoadModule ldap_module modules/mod_ldap.so
LoadModule auth_ldap_module modules/mod_auth_ldap.so


Skidtet er ændret en smule i Apache 2.2 - i hvert fald på Fedora.
Nu skal det hedde

LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so

-og så er der kommet et par fine smådetaljer på, så som at man skalerklære "AuthBasicProvider ldap", samt "AuthLDAPAuthoritative off" hvisman bare benytter "require valid user", i modsætning til

require ldap-user johndoe janedoe
-hvor de nævnte brugere så vil kunne logge ind.

Jeg fik det til at spille med følgende config:

  <Location /ldap>
   AuthType basic
   AuthName "Ldap login"
   AuthBasicProvider ldap
   AuthLDAPUrl ldap://ldap:389/dc=dom,dc=dk?uid?sub
   AuthzLDAPAuthoritative off  # SKAL være off for at næste linje virker
   require valid-user
  </Location>

Det der snavs med AuthzLDAPAuthoritative fandt jeg i ... erhm ...dokumentationen til Apache. ;-)


I min LDAP-logfil, ved korrekt password:
May 30 07:48:53 servername slapd[5507]: conn=500 fd=17 ACCEPT from IP=127.0.0.1:39501 (IP=0.0.0.0:389)
May 30 07:48:53 servername slapd[5507]: conn=500 op=0 BIND dn="uid=troels,ou=People,dc=abc,dc=def,dc=ghi" method=128
May 30 07:48:53 servername slapd[5507]: conn=500 op=0 BIND dn="uid=troels,ou=People,dc=abc,dc=def,dc=ghi" mech=SIMPLE ssf=0
May 30 07:48:53 servername slapd[5507]: conn=500 op=0 RESULT tag=97 err=0 text=
May 30 07:48:53 servername slapd[5507]: conn=500 op=1 SRCH base="dc=abc,dc=def,dc=ghi" scope=0 deref=0 filter="(objectClass=*)"
May 30 07:48:53 servername slapd[5507]: conn=500 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
May 30 07:48:53 servername slapd[5507]: conn=500 op=2 UNBIND
May 30 07:48:53 servername slapd[5507]: conn=500 fd=17 closed


og min logfil ser nu sådan ud ved korrekt password:

slapd[5533]: conn=46769 op=0 BIND dn="" method=128
slapd[5533]: conn=46769 op=0 RESULT tag=97 err=0 text=

slapd[5533]: conn=46769 op=1 SRCH base="dc=dom,dc=dk" scope=2 deref=3filter="(&(objectClass=*)(uid=kaj))"

slapd[5533]: conn=46769 op=1 SRCH attr=uid
slapd[5533]: conn=46769 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=

slapd[5533]: conn=46769 op=2 BIND dn="uid=kaj,ou=People,dc=dom,dc=dk"method=128slapd[5533]: conn=46769 op=2 BIND dn="uid=kaj,ou=People,dc=dom,dc=dk"mech=SIMPLE ssf=0

slapd[5533]: conn=46769 op=2 RESULT tag=97 err=0 text=


Tak for hjælpen. :-)

Mvh
Kenneth

References

Apache og LDAP auth driller
From: Kenneth Ahn Jensen, 2006-05-29
Re: Apache og LDAP auth driller
From: Troels Arvin, 2006-05-30