You are viewing a plain text version of this content. The canonical link for it is here.

Posted to users-de@httpd.apache.org by Klaus T Füller <kl...@t-online.de> on 2006/12/01 13:27:32 UTC

Kann Apache nicht mit LDAP zusammenbringen

Ich habe ein merkwürdiges Verhalten von Apache, was verhindert, dass  
ich mit LDAP-authentisierte Seiten abrufen kann. Im Einzelnen:

(1) Die Authentisierung mit einem Passwort-File klappt.

Nun schalten ich ein

                 AuthType Basic
                 AuthBasicProvider ldap
                 AuthName "test"
                 Require valid-user
                 AuthLDAPUrl ldap://localhost:389/dc=gcls,dc=priv

(2) Wenn ich einen falschen Benutzernamen eingebe, meldet Apache im  
error.log, dass der Benutzername falsch ist.
Die Passwortabfrage an den Anwender wird vom Browser wiederholt. Klar!

(3) Wenn ich einen gültigen Benutzernamen eingebe und ein falsches  
Passwort, sagt Apache im Logfile:

     auth_ldap authenticate: user test authentication failed; URI /x  
[ldap_simple_bind_s() to check user credentials failed][Invalid  
credentials]
     user test: authentication failure for "/x": Password Mismatch

Die Passwortabfrage an den Anwender wird vom Browser wiederholt. Klar!

(4) Wenn ich einen Benutzerkennung und Passwort gültig eingebe,  
erscheint keine Fehlermeldung in error.log - warum auch. Aber:
*Die Passwortabfrage an den Anwender wird vom Browser wiederholt.*

Aus (1) schließe ich, dass die Autentisierung zwischen Browser und  
Apache klappt.

Aus (2-3) schließe ich, dass Apache richtig mit dem LDAP-Server  
redet. Aus (4) schließe ich, dass der LDAP-Server sein OK gegeben hat.

_W_a_s___i_s_t___l_o_s_?_?

Verzweifelte Grüße
Klaus Füller
--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: Kann Apache nicht mit LDAP zusammenbringen

Posted by Klaus T Füller <Kl...@T-Online.de>.

Am 01.12.2006 um 13:34 schrieb Rainer Sokoll:

> On Fri, Dec 01, 2006 at 01:27:32PM +0100, Klaus T Füller wrote:
>
>> Aus (1) schließe ich, dass die Autentisierung zwischen Browser und
>> Apache klappt.
>>
>> Aus (2-3) schließe ich, dass Apache richtig mit dem LDAP-Server
>> redet. Aus (4) schließe ich, dass der LDAP-Server sein OK gegeben  
>> hat.
>>
>> _W_a_s___i_s_t___l_o_s_?_?
>
> Mal ein "tcpdump host localhost port 389" anwerfen und nachsehen?

Ich habe keinen tcpdump erzeugt, sondern den Loglevel von slapd  
erhöht. Ich erhalte folgende Ausgabe:

Falsche Kennung:
conn=0 fd=12 ACCEPT from IP=127.0.0.1:40685 (IP=0.0.0.0:389)
conn=0 op=0 BIND dn="" method=128
conn=0 op=0 RESULT tag=97 err=0 text=
conn=0 op=1 SRCH base="dc=gcls,dc=priv" scope=2 deref=3 filter="(& 
(objectClass=*)(uid=xy))"
conn=0 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=

Richtige Kennung (kfueller), falsches Passwort:
conn=1 fd=15 ACCEPT from IP=127.0.0.1:40686 (IP=0.0.0.0:389)
conn=1 op=0 BIND dn="" method=128
conn=1 op=0 RESULT tag=97 err=0 text=
conn=1 op=1 SRCH base="dc=gcls,dc=priv" scope=2 deref=3 filter="(& 
(objectClass=*)(uid=kfueller))"
conn=1 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
conn=1 op=2 BIND dn="uid=kfueller,ou=Anwender,dc=gcls,dc=priv"  
method=128
conn=1 op=2 RESULT tag=97 err=49 text=
conn=1 op=3 UNBIND
conn=1 fd=15 closed

Richtige Kennung, richtiges Passwort
conn=2 fd=15 ACCEPT from IP=127.0.0.1:40687 (IP=0.0.0.0:389)
conn=2 op=0 BIND dn="" method=128
conn=2 op=0 RESULT tag=97 err=0 text=
conn=2 op=1 SRCH base="dc=gcls,dc=priv" scope=2 deref=3 filter="(& 
(objectClass=*)(uid=kfueller))"
conn=2 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
conn=2 op=2 BIND dn="uid=kfueller,ou=Anwender,dc=gcls,dc=priv"  
method=128
conn=2 op=2 BIND dn="uid=kfueller,ou=Anwender,dc=gcls,dc=priv"  
mech=SIMPLE ssf=0
conn=2 op=2 RESULT tag=97 err=0 text=



--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: Kann Apache nicht mit LDAP zusammenbringen

Posted by Rainer Sokoll <R....@intershop.de>.

On Fri, Dec 01, 2006 at 01:27:32PM +0100, Klaus T Füller wrote:

> Aus (1) schließe ich, dass die Autentisierung zwischen Browser und  
> Apache klappt.
> 
> Aus (2-3) schließe ich, dass Apache richtig mit dem LDAP-Server  
> redet. Aus (4) schließe ich, dass der LDAP-Server sein OK gegeben hat.
> 
> _W_a_s___i_s_t___l_o_s_?_?

Mal ein "tcpdump host localhost port 389" anwerfen und nachsehen?

Rainer

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------