LDAP Authentifizierung in einer .htaccess auf Apache2
Hey Leute,
habe folgendes Problem:
Bin momentan an meiner Vorbereitung für die mündliche Prüfung und mein Projekt enthält zum Teil eine LDAP Anbindung.
Ich hätte diese gerne über eine .htaccess Datei umgesetzt, da es dabei nur um eine geschützte Website geht.
Ich benutze einen Raspberry Pi 3 B+ mit Raspbian Stretch (aktuell)
Apache 2.4.25
module ldap und authnz_ldap sind aktiv.
Mein bisheriger Code war so:
die .htaccess liegt momentan im Verzeichnis: /var/www/html/
"AllowOverride All" gilt für: /var/www/
Aktueller Status:
Bei dem Aufruf im Browser meines Apache2 Servers erhalte ich eine Benutzer und Kennwort Abfrage.
Nach Eingabe der Daten eines Domänen-Benutzers in der spezifizierten Gruppe lädt es nur noch und endet irgendwann in: "Internal Server Error"
Könnt Ihr irgendwelche Fehler erkennen?
Danke im Voraus!
habe folgendes Problem:
Bin momentan an meiner Vorbereitung für die mündliche Prüfung und mein Projekt enthält zum Teil eine LDAP Anbindung.
Ich hätte diese gerne über eine .htaccess Datei umgesetzt, da es dabei nur um eine geschützte Website geht.
Ich benutze einen Raspberry Pi 3 B+ mit Raspbian Stretch (aktuell)
Apache 2.4.25
module ldap und authnz_ldap sind aktiv.
Mein bisheriger Code war so:
AuthType Basic
AuthName "Zugangsberechtigung"
AuthBasicProvider ldap
LDAPReferrals Off
AuthLDAPBindDN "CN=xxx,OU=xxx,OU=xxx,OU=xxx,DC=mycompany,DC=de"
AuthLDAPBindPassword xxxx
AuthLDAPURL ldap://xxx.de:x/OU=xxx,OU=xxx,DC=mycompany,DC=de
Require ldap-group "CN=Grp.xxx,OU=xxx,OU=xxx,OU=xxx,DC=mycompany,DC=de"
"AllowOverride All" gilt für: /var/www/
Aktueller Status:
Bei dem Aufruf im Browser meines Apache2 Servers erhalte ich eine Benutzer und Kennwort Abfrage.
Nach Eingabe der Daten eines Domänen-Benutzers in der spezifizierten Gruppe lädt es nur noch und endet irgendwann in: "Internal Server Error"
Könnt Ihr irgendwelche Fehler erkennen?
Danke im Voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 454414
Url: https://administrator.de/forum/ldap-authentifizierung-in-einer-htaccess-auf-apache2-454414.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
10 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Leider hat auch die Anpassung des Musterbeispiels dieser Seite nichts geholfen.
Wie sieht den aktuell das angepasste Muster für dein Szenario aus? Verstehe ich das richtig, dass man mit LDAPBind einen blanken User mit einem Kennwort übergibt, der keine besonderen Rechte hat?
Eigentlich reicht das aus. Denn jeder Benutzer darf im LDAP lesen. Bei deinem zweiten Link verstehe ich nicht genau was du meinst..
Bis dato hast du von LDAP gesprochen, aber nicht auf welcher Basis. LDAP ist schließlich "nur" das Protokoll. Der zweite Link ist eine Implementierung unter Verwendung von AD DS.Gruß,
Dani
Moin,
mache es doch am Anfang nicht so schwierig. Ersetze Zeile 10 in der ldap-auth.conf mit Require valid-user. Somit kann sich erstmal jeder Benutzer authentifizieren. Wenn das funktioniert, kannst du die Gruppe aufgreifen. Ansonsten lass mal die Anführungszeichen am Anfang bzw. Ende noch weg.
Die Direktive wie OU, CN, DC immer alles klein schreiben. Ich weiß nicht, ob es einen Unterschied macht, aber sicher ist sicher.
Gruß,
Dani
mache es doch am Anfang nicht so schwierig. Ersetze Zeile 10 in der ldap-auth.conf mit Require valid-user. Somit kann sich erstmal jeder Benutzer authentifizieren. Wenn das funktioniert, kannst du die Gruppe aufgreifen. Ansonsten lass mal die Anführungszeichen am Anfang bzw. Ende noch weg.
Die Direktive wie OU, CN, DC immer alles klein schreiben. Ich weiß nicht, ob es einen Unterschied macht, aber sicher ist sicher.
- Zumindest erreicht die Abfrage jetzt den DC. Der User "Test" ist der User mit dem ich die Gruppenabfrage mache.
Woher weist du das? Hast du den entsprechenden Eintrag im Event Log des DCs gesehen?Gruß,
Dani
Moin,
Gruß,
Dani
Aufpassen: Bei require ldap-group darf man keine Anführungszeichen setzen.
sag ich doch. Habe den "Dreck" jetzt zum laufen gebracht.
Warum macht man auch sowas... Integriete Authenifizierungseiten sind doch viel schöner als so ein Dialogfenster und damit kann man auch SAML oder oAuth für die Authentifizierung nutzen.Gruß,
Dani