LDAP Authentifikation von Apache 2.4 auf UCS

PET · September 26, 2015, 6:23pm

Guten Abend zusammen,

Eins vorweg, ich bin recht neu mit UCS, daher bitte ich zu entschuldigen, wenn ich wichtige Seiten mit Anleitungen noch nicht gefunden habe, und daher unnötige Fragen stelle.

Aber zum Thema:
Ich möchte einen Apache 2.4 auf einem Debian Jessie System per LDAP an den UCS anschließen, um die Authentifikation von dort zu holen.

Vorgegangen bin ich nach:
wiki.univention.de/index.php?tit … o_the_LDAP

Jedoch wußte ich nicht welche Credentials ich dort eintragen muß.

Grundsätzlich würde ich auch gerne nach der Gruppe authorisieren (z.B. Domain Admins).

Jetzt sieht meine Config so aus:

AuthBasicProvider ldap
AuthType Basic
AuthName "Backup Access"
AuthLDAPURL ldap://UCS.fqdn:7389/cn=users,dc=UCS,dc=lokal?uid?sub
#AuthLDAPBindDN uid=backup,cn=users,dc=UCS,dc=lokal
#AuthLDAPBindPassword backuppc
AuthLDAPGroupAttribute groups
AuthLDAPGroupAttributeIsDN Off
#AuthLDAPMaxSubGroupDepth 1
Require ldap-group "cn=Domain Admins,cn=groups,dc=UCS,dc=lokal"

Leider gibt mir der Apache nun einen 500 Internal Server Error aus.

Wer kann mir einen Schubs in die richtige Richtung geben?

Vielen Dank im Voraus

PET

greif · October 1, 2015, 3:45pm

Hallo,

das LDAP des UCS läßt anonymes Binden nicht zu. Also man muß sich, um überhaupt LDAP Queries absetzen zu dürfen, am LDAP ausweisen. Ich würde glauben, es liegt daran, daß die beiden Zeilen

#AuthLDAPBindDN uid=backup,cn=users,dc=UCS,dc=lokal
#AuthLDAPBindPassword backuppc

auskommentiert sind. Wurde der entsprechende Account angelegt und mit diesem Paßwort versehen?

Ansonsten hab ich keine Diskrepanzen zur Apache Dokumentation gefunden, außer vielleicht, daß dort der “Require ldap-group” DN nicht gequotet ist, obwohl er Leerzeichen enthält.

Vielleicht findet man in /var/log/apache2/access.log und error.log Hinweise, was das Problem ist.

Mit Hilfe von ldapsearch könnte man auch versuchen nachzubilden, was der Apache fragen will:

ldapsearch -D <AuthLDAPBindDN> -w <AuthLDAPBindPassword> '(uid=einnutzer)'

Man kann auf dem Debian auch zuschauen, was da gefunkt wird (Port 7389 darf ja mit Klartext angesprochen werden):

tcpdump -lnqtXi any port 7389

viele Grüße
Frank Greif.

PET · October 3, 2015, 7:34pm

Ich danke für die Antwort!

In den Log-Files steht leider nichts drin.

Die Apache Doku habe ich natürlich konsultiert, ich habe aber ein Problem (oder eine mir unbekannte Standardeinstellung) auf UCS Seite vermutet. Daher auch die Frage hier.
ldapsearch ist erfolgreich.

tcpdump brachte mir nur unverständlichen Müll.

… Aber warum? … Und warum Müll? … der aussieht wie verschlüsselt …

Auf die Suche nach SSL Einstellungen gemacht und in der apache.conf ein

LDAPTrustedMode SSL

gefunden, der da wohl von früheren Tests leider vergessen wurde.
Auf

LDAPTrustedMode NONE

geändert und schon gehts ohne Probleme.

Nochmals vielen Dank für den Tipp mit tcpdump.

Viele Grüße

PET