You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by Dirk Weikard <di...@gmx.de> on 2006/05/26 11:23:58 UTC

apache2 auth_ldap ignoranz

Hallo :-)

Ich bin schier am Verzweifeln und habe nun alles ausprobiert was mir eingefallen ist, aber ich komme nicht weiter:

Der Apache2 ignoriert einen Befehl zur Authentifizierung mittels LDAP

System:
Debian Sarge
Apache 2.0.54-5

Eingebundes Apache-Modul (auth_ldap.load):
LoadModule ldap_module /usr/lib/apache2/modules/mod_ldap.so
LoadModule auth_ldap_module /usr/lib/apache2/modules/mod_auth_ldap.so

"Fehlermeldungen" nur:
[Fri May 26 10:59:10 2006] [notice] LDAP: Built with OpenLDAP LDAP SDK
[Fri May 26 10:59:10 2006] [notice] LDAP: SSL support unavailable

http.conf:

[...]
AllowOverride All
[...]

.htaccess:

AuthType Basic
AuthName "Webstatistik"
AuthLDAPAuthoritative on
AuthLDAPEnabled on
AuthLDAPURL ldap://ldapserver/o=MyNet?uid?sub
require valid-user


Herausgefunden habe ich bisher nur folgendes:
1. Es gibt keinerlei Fehlermeldungen
2. Die Befehle "AuthLDAPURL" etc. werden erkannt (ein bewußtes Fehlschreiben erzeugt eine Fehlermeldung beim Aufruf des Verzeichnisses)
3. Die .htaccess-Datei wird (mit normaler Authentifizierung mittels "AuthUserFile") "abgearbeitet"
4. Egal welche URL ich anstelle "ldapserver" eingebe, erhalte ich keine Reaktion der Firewall, d.h. diese wird nicht aufgerufen
5. Der Aufruf des Verzeichnisses in dem die .htaccess-datei liegt gelingt erfolgreich ohne Authentifizierung - als wäre die .htaccess-Datei nicht vorhanden.
6. Eine Verbindung zu dem ldap-Server mittels (u.a.) "ldapsearch" gelingt ohne Probleme.

Warum ignoriert der Apache2 die Authentifizierung?!? Was habe ich übersehen?


Vielen Dank für eine Lösung :-)

ciao

Dirk


-- 


Bis zu 70% Ihrer Onlinekosten sparen: GMX SmartSurfer!
      Kostenlos downloaden: http://www.gmx.net/de/go/smartsurfer
    

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: Re: Re: apache2 auth_ldap ignoranz

Posted by Dirk Weikard <di...@gmx.de>.
Hallo Leute,

So - jetzt bin ich der Problem ein wenig näher gekommen, auch wenn mir das sehr seltsam vor kommt:

1. Server - funktioniert ohne Probleme

2. Server - funktioniert nicht immer, sondern nur ...

... wenn die .htaccess-Datei sich im DOCUMENTROOT (also in /var/www/test) befindet! Und dann gilt dies nur für den Aufruf http://192.168.0.2/ NICHT aber für einen Aufruf wie z.B. http://192.168.0.2/drunter/ - dieses Verzeichnis läßt sich ohne weiteres aufrufen.

Befindet sich diese z.B. in /var/www/test/drunter dann ignoriert der Apache die LDAP-Einstellungen! Die "normale" Authentifikationsmethode mittels "AuthUserFile" wird ganz normal behandelt (also auch im Verzeichnis darunter).

Woran kann das liegen???


Dirk





KONFIGURATION:

Server (beide - ansonsten fast identisch):
- Debian/Sarge
- Apache 2.0.x

Apache
- .conf: identisch auf beiden Server - ebenso die VirtualHost Einstellung
- Lediglich Server 2 hat folgendes an Modulen mehr: 
  PerlModule Apache2
  LoadModule perl_module /usr/lib/apache2/modules/mod_perl.so

.htaccess im Verzeichnis /var/www/test/drunter

AuthType Basic
AuthName "Webstatistik"
AuthLDAPAuthoritative on
AuthLDAPEnabled on
AuthLDAPURL ldap://ldapserver/o=MyNet?uid?sub
require valid-user

in der Apache.conf

<VirtualHost 192.168.0.2:80>
  ServerName Testserver
  ServerAdmin webmaster@tu-darmstadt.de
  DocumentRoot /var/www/test
  ErrorLog /var/log/apache2/testserver.err

  <Directory /var/www/test>
    Options Indexes MultiViews SymLinksIfOwnerMatch IncludesNoExec
    AllowOverride AuthConfig Indexes Limit
    Order allow,deny
    allow from all
  </Directory>

</VirtualHost>



-- 


Der GMX SmartSurfer hilft bis zu 70% Ihrer Onlinekosten zu sparen!
      Ideal für Modem und ISDN: http://www.gmx.net/de/go/smartsurfer
    

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: Re: apache2 auth_ldap ignoranz

Posted by Rainer Sokoll <R....@intershop.de>.
On Fri, May 26, 2006 at 11:56:27AM +0200, Dirk Weikard wrote:

> tcpdump port 389
> oder
> tcpdump port ldap
> erbringen kein Ergebnis, keine Reaktion ...

Dann habe ich auch keine Idee. Außer vielleicht die volle Dröhnung: ein
strace an den httpd hängen.

Rainer

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: Re: apache2 auth_ldap ignoranz

Posted by Dirk Weikard <di...@gmx.de>.
Hallo Rainer,

danke für den Hinweis - hatte ich komplett vergessen zu erwähnen:

Ja - ein anonymes Binding ist erlaubt.

tcpdump port 389
oder
tcpdump port ldap
erbringen kein Ergebnis, keine Reaktion ...

Dirk



> -------- Original-Nachricht --------
> Datum: Fri, 26 May 2006 11:49:11 +0200
> Von: Rainer Sokoll <R....@intershop.de>
> An: users-de@httpd.apache.org
> Betreff: Re: apache2 auth_ldap ignoranz
> 
> On Fri, May 26, 2006 at 11:23:58AM +0200, Dirk Weikard wrote:
> 
> > AuthType Basic
> > AuthName "Webstatistik"
> > AuthLDAPAuthoritative on
> > AuthLDAPEnabled on
> > AuthLDAPURL ldap://ldapserver/o=MyNet?uid?sub
> > require valid-user
> 
> Ist anonymes Binding erlaubt?
> Was meint denn ein "tcpdump port ldap"?
> 
> Rainer
> 
> --------------------------------------------------------------------------
>                 Apache HTTP Server Mailing List "users-de" 
>       unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
>            sonstige Anfragen an users-de-help@httpd.apache.org
> --------------------------------------------------------------------------

-- 


Bis zu 70% Ihrer Onlinekosten sparen: GMX SmartSurfer!
      Kostenlos downloaden: http://www.gmx.net/de/go/smartsurfer
    

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: apache2 auth_ldap ignoranz

Posted by Rainer Sokoll <R....@intershop.de>.
On Fri, May 26, 2006 at 11:23:58AM +0200, Dirk Weikard wrote:

> AuthType Basic
> AuthName "Webstatistik"
> AuthLDAPAuthoritative on
> AuthLDAPEnabled on
> AuthLDAPURL ldap://ldapserver/o=MyNet?uid?sub
> require valid-user

Ist anonymes Binding erlaubt?
Was meint denn ein "tcpdump port ldap"?

Rainer

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------