You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by Klaus T Füller <kl...@t-online.de> on 2006/12/01 13:27:32 UTC
Kann Apache nicht mit LDAP zusammenbringen
Ich habe ein merkwürdiges Verhalten von Apache, was verhindert, dass
ich mit LDAP-authentisierte Seiten abrufen kann. Im Einzelnen:
(1) Die Authentisierung mit einem Passwort-File klappt.
Nun schalten ich ein
AuthType Basic
AuthBasicProvider ldap
AuthName "test"
Require valid-user
AuthLDAPUrl ldap://localhost:389/dc=gcls,dc=priv
(2) Wenn ich einen falschen Benutzernamen eingebe, meldet Apache im
error.log, dass der Benutzername falsch ist.
Die Passwortabfrage an den Anwender wird vom Browser wiederholt. Klar!
(3) Wenn ich einen gültigen Benutzernamen eingebe und ein falsches
Passwort, sagt Apache im Logfile:
auth_ldap authenticate: user test authentication failed; URI /x
[ldap_simple_bind_s() to check user credentials failed][Invalid
credentials]
user test: authentication failure for "/x": Password Mismatch
Die Passwortabfrage an den Anwender wird vom Browser wiederholt. Klar!
(4) Wenn ich einen Benutzerkennung und Passwort gültig eingebe,
erscheint keine Fehlermeldung in error.log - warum auch. Aber:
*Die Passwortabfrage an den Anwender wird vom Browser wiederholt.*
Aus (1) schließe ich, dass die Autentisierung zwischen Browser und
Apache klappt.
Aus (2-3) schließe ich, dass Apache richtig mit dem LDAP-Server
redet. Aus (4) schließe ich, dass der LDAP-Server sein OK gegeben hat.
_W_a_s___i_s_t___l_o_s_?_?
Verzweifelte Grüße
Klaus Füller
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: Kann Apache nicht mit LDAP zusammenbringen
Posted by Klaus T Füller <Kl...@T-Online.de>.
Am 01.12.2006 um 13:34 schrieb Rainer Sokoll:
> On Fri, Dec 01, 2006 at 01:27:32PM +0100, Klaus T Füller wrote:
>
>> Aus (1) schließe ich, dass die Autentisierung zwischen Browser und
>> Apache klappt.
>>
>> Aus (2-3) schließe ich, dass Apache richtig mit dem LDAP-Server
>> redet. Aus (4) schließe ich, dass der LDAP-Server sein OK gegeben
>> hat.
>>
>> _W_a_s___i_s_t___l_o_s_?_?
>
> Mal ein "tcpdump host localhost port 389" anwerfen und nachsehen?
Ich habe keinen tcpdump erzeugt, sondern den Loglevel von slapd
erhöht. Ich erhalte folgende Ausgabe:
Falsche Kennung:
conn=0 fd=12 ACCEPT from IP=127.0.0.1:40685 (IP=0.0.0.0:389)
conn=0 op=0 BIND dn="" method=128
conn=0 op=0 RESULT tag=97 err=0 text=
conn=0 op=1 SRCH base="dc=gcls,dc=priv" scope=2 deref=3 filter="(&
(objectClass=*)(uid=xy))"
conn=0 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
Richtige Kennung (kfueller), falsches Passwort:
conn=1 fd=15 ACCEPT from IP=127.0.0.1:40686 (IP=0.0.0.0:389)
conn=1 op=0 BIND dn="" method=128
conn=1 op=0 RESULT tag=97 err=0 text=
conn=1 op=1 SRCH base="dc=gcls,dc=priv" scope=2 deref=3 filter="(&
(objectClass=*)(uid=kfueller))"
conn=1 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
conn=1 op=2 BIND dn="uid=kfueller,ou=Anwender,dc=gcls,dc=priv"
method=128
conn=1 op=2 RESULT tag=97 err=49 text=
conn=1 op=3 UNBIND
conn=1 fd=15 closed
Richtige Kennung, richtiges Passwort
conn=2 fd=15 ACCEPT from IP=127.0.0.1:40687 (IP=0.0.0.0:389)
conn=2 op=0 BIND dn="" method=128
conn=2 op=0 RESULT tag=97 err=0 text=
conn=2 op=1 SRCH base="dc=gcls,dc=priv" scope=2 deref=3 filter="(&
(objectClass=*)(uid=kfueller))"
conn=2 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
conn=2 op=2 BIND dn="uid=kfueller,ou=Anwender,dc=gcls,dc=priv"
method=128
conn=2 op=2 BIND dn="uid=kfueller,ou=Anwender,dc=gcls,dc=priv"
mech=SIMPLE ssf=0
conn=2 op=2 RESULT tag=97 err=0 text=
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: Kann Apache nicht mit LDAP zusammenbringen
Posted by Rainer Sokoll <R....@intershop.de>.
On Fri, Dec 01, 2006 at 01:27:32PM +0100, Klaus T Füller wrote:
> Aus (1) schließe ich, dass die Autentisierung zwischen Browser und
> Apache klappt.
>
> Aus (2-3) schließe ich, dass Apache richtig mit dem LDAP-Server
> redet. Aus (4) schließe ich, dass der LDAP-Server sein OK gegeben hat.
>
> _W_a_s___i_s_t___l_o_s_?_?
Mal ein "tcpdump host localhost port 389" anwerfen und nachsehen?
Rainer
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------