Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst LDAP Authentifizierung in einer .htaccess auf Apache2

Mitglied: DevCode

DevCode (Level 1) - Jetzt verbinden

22.05.2019, aktualisiert 15:32 Uhr, 379 Aufrufe, 10 Kommentare

Hey Leute,

habe folgendes Problem:

Bin momentan an meiner Vorbereitung für die mündliche Prüfung und mein Projekt enthält zum Teil eine LDAP Anbindung.
Ich hätte diese gerne über eine .htaccess Datei umgesetzt, da es dabei nur um eine geschützte Website geht.

Ich benutze einen Raspberry Pi 3 B+ mit Raspbian Stretch (aktuell)

Apache 2.4.25

module ldap und authnz_ldap sind aktiv.

Mein bisheriger Code war so:
01.
AuthType Basic
02.
AuthName "Zugangsberechtigung"
03.
AuthBasicProvider ldap
04.
LDAPReferrals Off
05.
AuthLDAPBindDN "CN=xxx,OU=xxx,OU=xxx,OU=xxx,DC=mycompany,DC=de"
06.
AuthLDAPBindPassword xxxx
07.
AuthLDAPURL ldap://xxx.de:x/OU=xxx,OU=xxx,DC=mycompany,DC=de
08.
Require ldap-group "CN=Grp.xxx,OU=xxx,OU=xxx,OU=xxx,DC=mycompany,DC=de"
die .htaccess liegt momentan im Verzeichnis: /var/www/html/
"AllowOverride All" gilt für: /var/www/


Aktueller Status:

Bei dem Aufruf im Browser meines Apache2 Servers erhalte ich eine Benutzer und Kennwort Abfrage.
Nach Eingabe der Daten eines Domänen-Benutzers in der spezifizierten Gruppe lädt es nur noch und endet irgendwann in: "Internal Server Error"

Könnt Ihr irgendwelche Fehler erkennen?

Danke im Voraus!
Mitglied: SlainteMhath
22.05.2019 um 14:47 Uhr
Moin,

und endet irgendwann in: "Internal Server Error"
Dann wirf dich mal einen Blick in dein error.log - da sollte i.d.R. stehen was dem Apachen nicht passt.

lg,
Slainte
Bitte warten ..
Mitglied: DevCode
22.05.2019 um 14:51 Uhr
Hi Slainte,

das habe ich bereits. Du meinst hoffentlich denselben Error Log wie ich?

/var/log/apache2/error.log

Dieser sagt leider überhaupt nichts dazu.
Habe davor die Module ldap und authnz_ldap nicht aktiviert gehabt, was auch im Error Log beschrieben war.
Leider seit dieser Fehlerbehebung nichts mehr aufgetaucht im Log.

Danke für die schnelle Antwort

lg
Patrick
Bitte warten ..
Mitglied: Dani
22.05.2019, aktualisiert um 15:36 Uhr
Moin,
da du nicht schreibst, welche Apache2 Version du im Einsatz hast, hier eine Übersicht der verschiedenen Konfigurationen.Dazu noch eine Referenz bezüglich der Nutzung von Microsoft AD DS.


Gruß,
Dani
Bitte warten ..
Mitglied: DevCode
22.05.2019 um 16:08 Uhr
Servus Dani,

hier noch einmal für dich:

Server version: Apache/2.4.25 (Raspbian)
Server built: 2019-04-02T19:05:13

Leider waren diese beiden Links nicht sehr hilfreich..
Habe den ersten Beitrag schon gelesen und getestet.

Bei deinem ersten Link, willst du die LDAP Abfrage schon in der Config-Datei festlegen, was ich gar nicht dumm finde.
Eine Config für evtl mehrere Hosts. TOP! [Meine Konfiguration, war bloß eine .htaccess, die durch die ldap-auth.conf ersetzt werden kann]
Leider hat auch die Anpassung des Musterbeispiels dieser Seite nichts geholfen.

Bei deinem zweiten Link verstehe ich nicht genau was du meinst..

Verstehe ich das richtig, dass man mit LDAPBind einen blanken User mit einem Kennwort übergibt, der keine besonderen Rechte hat?
Bitte warten ..
Mitglied: juhu01
22.05.2019 um 16:35 Uhr
servus

mit dem ldap bind gibst du den server, den user und den zweig an, den du abfragen mochtest.
teste die ldap-verbindung von der shell aus. wenn das error.log des apachen nichts ausgibt, dürfte der fehler eher im bind liegen, bzw im connect liegen.
Bitte warten ..
Mitglied: Dani
22.05.2019 um 17:40 Uhr
Moin,
Leider hat auch die Anpassung des Musterbeispiels dieser Seite nichts geholfen.
Wie sieht den aktuell das angepasste Muster für dein Szenario aus?

Verstehe ich das richtig, dass man mit LDAPBind einen blanken User mit einem Kennwort übergibt, der keine besonderen Rechte hat?
Eigentlich reicht das aus. Denn jeder Benutzer darf im LDAP lesen.

Bei deinem zweiten Link verstehe ich nicht genau was du meinst..
Bis dato hast du von LDAP gesprochen, aber nicht auf welcher Basis. LDAP ist schließlich "nur" das Protokoll. Der zweite Link ist eine Implementierung unter Verwendung von AD DS.


Gruß,
Dani
Bitte warten ..
Mitglied: DevCode
23.05.2019 um 08:36 Uhr
Hallo Dani,

sry hab den ersten Fehler schon gefunden.. Ich war bis heute leider mit meinem Raspi als Test in einem abgeschirmtem Netz, wo ich keinen Zugriff auf den Domain Controller usw. hatte. Mein Fehler.

01.
AuthName "AD/LDAP Authentifikations Test"
02.
AuthBasicProvider ldap
03.
AuthType Basic
04.
LDAPReferrals Off
05.
AuthLDAPGroupAttribute member
06.
AuthLDAPGroupAttributeIsDN On
07.
AuthLDAPURL "ldap://xx.mycompany.de:3268/DC=mycompany,DC=de?sAMAccountName?sub?(objectClass=*)"
08.
AuthLDAPBindDN "xxx@mycompany.de"
09.
AuthLDAPBindPassword xxx
10.
Require ldap-group "CN=xxx,OU=xxx,OU=xxx,OU=xxx,DC=mycompany,DC=de"
Diese Datei "ldap-auth.conf" liegt in /etc/apache2/conf-available/

01.
<VirtualHost *:80>
02.
        ServerAdmin webmaster@localhost
03.
        DocumentRoot /var/www/html
04.
        ErrorLog ${APACHE_LOG_DIR}/error.log
05.
        CustomLog ${APACHE_LOG_DIR}/access.log combined
06.
</VirtualHost>
07.
<Directory "/var/www/html">
08.
        AllowOverride None
09.
        Include /etc/apache2/conf-available/ldap-auth.conf
10.
</Directory>
Diese Datei "000-default.conf" liegt in /etc/apache2/sites-available/


Aktueller Status:

- [Thu May 23 08:29:43.172512 2019] [auth_basic:error] [pid 6706] [client x.x.x.x:38424] AH01617: user Test: authentication failure for "/": Password Mismatch
- Zumindest erreicht die Abfrage jetzt den DC. Der User "Test" ist der User mit dem ich die Gruppenabfrage mache.
Bitte warten ..
Mitglied: Dani
LÖSUNG 23.05.2019, aktualisiert um 11:40 Uhr
Moin,
mache es doch am Anfang nicht so schwierig. Ersetze Zeile 10 in der ldap-auth.conf mit Require valid-user. Somit kann sich erstmal jeder Benutzer authentifizieren. Wenn das funktioniert, kannst du die Gruppe aufgreifen. Ansonsten lass mal die Anführungszeichen am Anfang bzw. Ende noch weg.

Die Direktive wie OU, CN, DC immer alles klein schreiben. Ich weiß nicht, ob es einen Unterschied macht, aber sicher ist sicher.

- Zumindest erreicht die Abfrage jetzt den DC. Der User "Test" ist der User mit dem ich die Gruppenabfrage mache.
Woher weist du das? Hast du den entsprechenden Eintrag im Event Log des DCs gesehen?


Gruß,
Dani
Bitte warten ..
Mitglied: DevCode
23.05.2019 um 15:47 Uhr
Hallo Leute,

erstmal vielen Danke für Eure Hilfe!
Habe den "Dreck" jetzt zum laufen gebracht.

Wen es interessiert:

01.
AuthName "Benutzerauthentifizierung"
02.
AuthBasicProvider ldap
03.
AuthType Basic
04.
LDAPReferrals Off
05.
AuthLDAPGroupAttribute member
06.
AuthLDAPGroupAttributeIsDN On
07.
AuthLDAPURL "ldap://mycompany.de:389/DC=mycompany,DC=de?sAMAccountName?sub?(objectClass=*)"
08.
AuthLDAPBindDN "user@mycompany.de"
09.
AuthLDAPBindPassword xxxx
10.
Require ldap-group CN=xx,OU=xx,OU=xx,OU=xx,DC=mycompany,DC=de
Aufpassen: Bei require ldap-group darf man keine Anführungszeichen setzen.

Vielen Dank an Dani für deine Geduld

mfg Patrick
Bitte warten ..
Mitglied: Dani
23.05.2019 um 15:56 Uhr
Moin,
Aufpassen: Bei require ldap-group darf man keine Anführungszeichen setzen.
sag ich doch.

Habe den "Dreck" jetzt zum laufen gebracht.
Warum macht man auch sowas... Integriete Authenifizierungseiten sind doch viel schöner als so ein Dialogfenster und damit kann man auch SAML oder oAuth für die Authentifizierung nutzen.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Internet

Intranet - LDAP Authentifizierung - Aufbau

gelöst Frage von Otto1699Internet2 Kommentare

Hallo, ich möchte unser Intranet, dass zur Zeit einige php Seiten mit Formularen und mysql Anbindung hat erweitern. Einige ...

Apache Server

htaccess Problem mit mod rewrite (apache2, debian)

gelöst Frage von janek26Apache Server1 Kommentar

Hallo Community, ich habe ein problem mit meinem Webserver. Irgendwie ließt er die .htaccess nicht richtig ein. manche links ...

Samba

Samba Server mit LDAP Authentifizierung

Frage von adm2015Samba2 Kommentare

Hallo zusammen, ich bin langsam echt am verzweifeln. Ich habe bereits mehrere Tage versucht folgendes Szenario einzurichten und komme ...

Microsoft

LDAP-RADIUS Authentifizierung VPN bei abgelaufenen Kennwort.

Frage von UnbekannterNR1Microsoft8 Kommentare

Hallo, Ich versuche gerade für VPN Nutzer LDAP Authentifizierung zu realisieren über OpenVPN. Funktioniert auch generell ohne Probleme. Wenn ...

Neue Wissensbeiträge
Windows 10
Windows 10: Netzwerk zeigt Fehler 0x80070035
Tipp von anteNope vor 51 MinutenWindows 103 Kommentare

Moin zusammen, ich hatte gerade mal wieder das Vergnügen mit dem obigen Fehler. Unter Borns Blog ist das beschreiben: ...

Windows 10

Bug: Windows 10 Enterprise LTSC erhält Funktionsupdate angeboten

Information von kgborn vor 18 StundenWindows 103 Kommentare

Der Fehler ist mittlerweile zwar korrigiert, aber ich denke, ich stelle die Info doch mal hier für Leute ein, ...

Viren und Trojaner

Entschlüsselungs-Tool für aktuelle GandCrab-Version verfügbar

Information von MrCount vor 22 StundenViren und Trojaner

Für alle Betroffenen gibt es offenbar ein Tool zur Entschlüsselung. Dann wird wohl die nächste version von GandCrap nicht ...

LAN, WAN, Wireless
Sophos RED50 stürzt ab und ist danach tot
Information von Ex0r2k16 vor 4 TagenLAN, WAN, Wireless3 Kommentare

Hey, nach meinem Thread bin ich durch Zufall auf das hier gestoßen: Also wenn ihr UTMs und RED50's im ...

Heiß diskutierte Inhalte
Viren und Trojaner
Gefahr - Risiko zwischen doc xls und docx xlsx
Frage von Asker06Viren und Trojaner33 Kommentare

Guten Tag, ich wollte wissen ob die .doc und .xls datein viel gefährlicher sind als .docx und .xlsx?? Ich ...

Sicherheit
Wie sichert (verschlüsselt) ihr eure Passwörter ?
gelöst Frage von decehakanSicherheit20 Kommentare

Hallo Admins, Mittlerweile hat man für jeden Dienst seine Zugangsdaten, sei es Amazon, Bank, FB, etc , vor allem ...

Windows Netzwerk
Standardgateway bei Clients mit statischer IP Adresse ändern
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, Wie kann ich über eine GPO die Standardgateway an meinen Clients ändern? Ich habe das versucht?: Es ...

Ubuntu
Notfall - VMs sind alle runtergefahren
gelöst Frage von JohnWorksUbuntu12 Kommentare

Hallo Zusammen, ich habe einen kleinen Notfall und zwar sind alle VMs runtergefahren. Ich dachte erst an den Speicherplatz ...