10
LDAP Authentifizierung in einer .htaccess auf Apache2
Hey Leute,
habe folgendes Problem:
Bin momentan an meiner Vorbereitung für die mündliche Prüfung und mein Projekt enthält zum Teil eine LDAP Anbindung.
Ich hätte diese gerne über eine .htaccess Datei umgesetzt, da es dabei nur um eine geschützte Website geht.
Ich benutze einen Raspberry Pi 3 B+ mit Raspbian Stretch (aktuell)
Apache 2.4.25
module ldap und authnz_ldap sind aktiv.
Mein bisheriger Code war so:
die .htaccess liegt momentan im Verzeichnis: /var/www/html/
"AllowOverride All" gilt für: /var/www/
Aktueller Status:
Bei dem Aufruf im Browser meines Apache2 Servers erhalte ich eine Benutzer und Kennwort Abfrage.
Nach Eingabe der Daten eines Domänen-Benutzers in der spezifizierten Gruppe lädt es nur noch und endet irgendwann in: "Internal Server Error"
Könnt Ihr irgendwelche Fehler erkennen?
Danke im Voraus!
habe folgendes Problem:
Bin momentan an meiner Vorbereitung für die mündliche Prüfung und mein Projekt enthält zum Teil eine LDAP Anbindung.
Ich hätte diese gerne über eine .htaccess Datei umgesetzt, da es dabei nur um eine geschützte Website geht.
Ich benutze einen Raspberry Pi 3 B+ mit Raspbian Stretch (aktuell)
Apache 2.4.25
module ldap und authnz_ldap sind aktiv.
Mein bisheriger Code war so:
AuthType Basic
AuthName "Zugangsberechtigung"
AuthBasicProvider ldap
LDAPReferrals Off
AuthLDAPBindDN "CN=xxx,OU=xxx,OU=xxx,OU=xxx,DC=mycompany,DC=de"
AuthLDAPBindPassword xxxx
AuthLDAPURL ldap://xxx.de:x/OU=xxx,OU=xxx,DC=mycompany,DC=de
Require ldap-group "CN=Grp.xxx,OU=xxx,OU=xxx,OU=xxx,DC=mycompany,DC=de" "AllowOverride All" gilt für: /var/www/
Aktueller Status:
Bei dem Aufruf im Browser meines Apache2 Servers erhalte ich eine Benutzer und Kennwort Abfrage.
Nach Eingabe der Daten eines Domänen-Benutzers in der spezifizierten Gruppe lädt es nur noch und endet irgendwann in: "Internal Server Error"
Könnt Ihr irgendwelche Fehler erkennen?
Danke im Voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 454414
Url: https://administrator.de/contentid/454414
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
lg,
Slainte
und endet irgendwann in: "Internal Server Error"
Dann wirf dich mal einen Blick in dein error.log - da sollte i.d.R. stehen was dem Apachen nicht passt.lg,
Slainte
Hi Slainte,
das habe ich bereits. Du meinst hoffentlich denselben Error Log wie ich?
/var/log/apache2/error.log
Dieser sagt leider überhaupt nichts dazu.
Habe davor die Module ldap und authnz_ldap nicht aktiviert gehabt, was auch im Error Log beschrieben war.
Leider seit dieser Fehlerbehebung nichts mehr aufgetaucht im Log.
Danke für die schnelle Antwort
lg
Patrick
das habe ich bereits. Du meinst hoffentlich denselben Error Log wie ich?
/var/log/apache2/error.log
Dieser sagt leider überhaupt nichts dazu.
Habe davor die Module ldap und authnz_ldap nicht aktiviert gehabt, was auch im Error Log beschrieben war.
Leider seit dieser Fehlerbehebung nichts mehr aufgetaucht im Log.
Danke für die schnelle Antwort
lg
Patrick
Servus Dani,
hier noch einmal für dich:
Server version: Apache/2.4.25 (Raspbian)
Server built: 2019-04-02T19:05:13
Leider waren diese beiden Links nicht sehr hilfreich..
Habe den ersten Beitrag schon gelesen und getestet.
Bei deinem ersten Link, willst du die LDAP Abfrage schon in der Config-Datei festlegen, was ich gar nicht dumm finde.
Eine Config für evtl mehrere Hosts. TOP! [Meine Konfiguration, war bloß eine .htaccess, die durch die ldap-auth.conf ersetzt werden kann]
Leider hat auch die Anpassung des Musterbeispiels dieser Seite nichts geholfen.
Bei deinem zweiten Link verstehe ich nicht genau was du meinst..
Verstehe ich das richtig, dass man mit LDAPBind einen blanken User mit einem Kennwort übergibt, der keine besonderen Rechte hat?
hier noch einmal für dich:
Server version: Apache/2.4.25 (Raspbian)
Server built: 2019-04-02T19:05:13
Leider waren diese beiden Links nicht sehr hilfreich..
Habe den ersten Beitrag schon gelesen und getestet.
Bei deinem ersten Link, willst du die LDAP Abfrage schon in der Config-Datei festlegen, was ich gar nicht dumm finde.
Eine Config für evtl mehrere Hosts. TOP! [Meine Konfiguration, war bloß eine .htaccess, die durch die ldap-auth.conf ersetzt werden kann]
Leider hat auch die Anpassung des Musterbeispiels dieser Seite nichts geholfen.
Bei deinem zweiten Link verstehe ich nicht genau was du meinst..
Verstehe ich das richtig, dass man mit LDAPBind einen blanken User mit einem Kennwort übergibt, der keine besonderen Rechte hat?
servus
mit dem ldap bind gibst du den server, den user und den zweig an, den du abfragen mochtest.
teste die ldap-verbindung von der shell aus. wenn das error.log des apachen nichts ausgibt, dürfte der fehler eher im bind liegen, bzw im connect liegen.
mit dem ldap bind gibst du den server, den user und den zweig an, den du abfragen mochtest.
teste die ldap-verbindung von der shell aus. wenn das error.log des apachen nichts ausgibt, dürfte der fehler eher im bind liegen, bzw im connect liegen.
Moin,
Gruß,
Dani
Leider hat auch die Anpassung des Musterbeispiels dieser Seite nichts geholfen.
Wie sieht den aktuell das angepasste Muster für dein Szenario aus? Verstehe ich das richtig, dass man mit LDAPBind einen blanken User mit einem Kennwort übergibt, der keine besonderen Rechte hat?
Eigentlich reicht das aus. Denn jeder Benutzer darf im LDAP lesen. Bei deinem zweiten Link verstehe ich nicht genau was du meinst..
Bis dato hast du von LDAP gesprochen, aber nicht auf welcher Basis. LDAP ist schließlich "nur" das Protokoll. Der zweite Link ist eine Implementierung unter Verwendung von AD DS.Gruß,
Dani
Hallo Dani,
sry hab den ersten Fehler schon gefunden.. Ich war bis heute leider mit meinem Raspi als Test in einem abgeschirmtem Netz, wo ich keinen Zugriff auf den Domain Controller usw. hatte. Mein Fehler.
Diese Datei "ldap-auth.conf" liegt in /etc/apache2/conf-available/
Diese Datei "000-default.conf" liegt in /etc/apache2/sites-available/
Aktueller Status:
- [Thu May 23 08:29:43.172512 2019] [auth_basic:error] [pid 6706] [client x.x.x.x:38424] AH01617: user Test: authentication failure for "/": Password Mismatch
- Zumindest erreicht die Abfrage jetzt den DC. Der User "Test" ist der User mit dem ich die Gruppenabfrage mache.
sry hab den ersten Fehler schon gefunden.. Ich war bis heute leider mit meinem Raspi als Test in einem abgeschirmtem Netz, wo ich keinen Zugriff auf den Domain Controller usw. hatte. Mein Fehler.
AuthName "AD/LDAP Authentifikations Test"
AuthBasicProvider ldap
AuthType Basic
LDAPReferrals Off
AuthLDAPGroupAttribute member
AuthLDAPGroupAttributeIsDN On
AuthLDAPURL "ldap://xx.mycompany.de:3268/DC=mycompany,DC=de?sAMAccountName?sub?(objectClass=*)"
AuthLDAPBindDN "xxx@mycompany.de"
AuthLDAPBindPassword xxx
Require ldap-group "CN=xxx,OU=xxx,OU=xxx,OU=xxx,DC=mycompany,DC=de" Diese Datei "ldap-auth.conf" liegt in /etc/apache2/conf-available/
<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
<Directory "/var/www/html">
AllowOverride None
Include /etc/apache2/conf-available/ldap-auth.conf
</Directory>Diese Datei "000-default.conf" liegt in /etc/apache2/sites-available/
Aktueller Status:
- [Thu May 23 08:29:43.172512 2019] [auth_basic:error] [pid 6706] [client x.x.x.x:38424] AH01617: user Test: authentication failure for "/": Password Mismatch
- Zumindest erreicht die Abfrage jetzt den DC. Der User "Test" ist der User mit dem ich die Gruppenabfrage mache.
Moin,
mache es doch am Anfang nicht so schwierig. Ersetze Zeile 10 in der ldap-auth.conf mit Require valid-user. Somit kann sich erstmal jeder Benutzer authentifizieren. Wenn das funktioniert, kannst du die Gruppe aufgreifen. Ansonsten lass mal die Anführungszeichen am Anfang bzw. Ende noch weg.
Die Direktive wie OU, CN, DC immer alles klein schreiben. Ich weiß nicht, ob es einen Unterschied macht, aber sicher ist sicher.
Gruß,
Dani
mache es doch am Anfang nicht so schwierig. Ersetze Zeile 10 in der ldap-auth.conf mit Require valid-user. Somit kann sich erstmal jeder Benutzer authentifizieren. Wenn das funktioniert, kannst du die Gruppe aufgreifen. Ansonsten lass mal die Anführungszeichen am Anfang bzw. Ende noch weg.
Die Direktive wie OU, CN, DC immer alles klein schreiben. Ich weiß nicht, ob es einen Unterschied macht, aber sicher ist sicher.
- Zumindest erreicht die Abfrage jetzt den DC. Der User "Test" ist der User mit dem ich die Gruppenabfrage mache.
Woher weist du das? Hast du den entsprechenden Eintrag im Event Log des DCs gesehen?Gruß,
Dani
Hallo Leute,
erstmal vielen Danke für Eure Hilfe!
Habe den "Dreck" jetzt zum laufen gebracht.
Wen es interessiert:
Aufpassen: Bei require ldap-group darf man keine Anführungszeichen setzen.
Vielen Dank an Dani für deine Geduld
mfg Patrick
erstmal vielen Danke für Eure Hilfe!
Habe den "Dreck" jetzt zum laufen gebracht.
Wen es interessiert:
AuthName "Benutzerauthentifizierung"
AuthBasicProvider ldap
AuthType Basic
LDAPReferrals Off
AuthLDAPGroupAttribute member
AuthLDAPGroupAttributeIsDN On
AuthLDAPURL "ldap://mycompany.de:389/DC=mycompany,DC=de?sAMAccountName?sub?(objectClass=*)"
AuthLDAPBindDN "user@mycompany.de"
AuthLDAPBindPassword xxxx
Require ldap-group CN=xx,OU=xx,OU=xx,OU=xx,DC=mycompany,DC=deAufpassen: Bei require ldap-group darf man keine Anführungszeichen setzen.
Vielen Dank an Dani für deine Geduld
mfg Patrick
Moin,
Integriete Authenifizierungseiten sind doch viel schöner als so ein Dialogfenster und damit kann man auch SAML oder oAuth für die Authentifizierung nutzen.
Gruß,
Dani
Aufpassen: Bei require ldap-group darf man keine Anführungszeichen setzen.
sag ich doch. Habe den "Dreck" jetzt zum laufen gebracht.
Warum macht man auch sowas... Integriete Authenifizierungseiten sind doch viel schöner als so ein Dialogfenster und damit kann man auch SAML oder oAuth für die Authentifizierung nutzen.Gruß,
Dani
