htaccess ldap ads windows

[bitwicht 10]

Hallo,

 

habe da ein problem bei der authentifizierung meiner htaccess gegen die ads ldap.

 

hatte schon einige beiträge u.a. auch diesen durchgelesen leider ohne erfolg:

https://www.mcseboard.de/windows-forum-ms-backoffice-31/htaccess-w2k3-143141.html

 

die config von faith schaut sauber aus und auch laut doku - so ist meine auch aber es geht nicht:

 

 

AuthName "ACC"

AuthType Basic

AuthBasicProvider ldap

AuthzLDAPAuthoritative on

AuthLDAPBindDN ldapadmin@spx-fs

AuthLDAPBindPassword passwordvom-ldapadminuser

AuthLDAPURL ldap://spx-fs/OU=IT,OU=Benutzer,OU=AdminUnit,DC=spox,DC=local?sAMAccountName?sub

require ldap-group CN=nagios-web-acc,OU=Nagios,OU=Security,OU=Gruppen,OU=AdminUnit,DC=spox

 

 

 

die gruppe welche in zulassen möchte ist:

CN=nagios-web-acc,OU=Nagios,OU=Security,OU=Gruppen,OU=AdminUnit,DC=spox

 

 

der benutzer ldapadmin ist in:

CN=ldapadmin,OU=IT,OU=Benutzer,OU=AdminUnit,DC=spox,DC=local

 

 

wenn ich mit dem ldp browser via benutzer ldapadmin auf die ads zugreife bekomme ich auch ergebnisse

 

 

 

hier ein auszug aus dem apache2.2 log:

[Mon Dec 08 16:40:28 2008] [error] [client 192.168.200.109] user test: authentication failure for "/nagios/": Password Mismatch

[Mon Dec 08 16:40:31 2008] [warn] [client 192.168.200.109] [1912] auth_ldap authenticate: user test authentication failed; URI /nagios/ [LDAP: ldap_simple_bind_s() failed][invalid credentials]

 

 

das passwort des user stimmt - andere user gehen auch nicht.

 

im apache habe ich folgende module aktiviert: authnz_ldap.load und ldap.load

 

 

 

einer ne idee ?

 

lg

bit

[phoenixcp 10]

Ersetze mal bitte testweise den Wert in AuthLDAPBindDN mit dem DN des LDAPAdmins. U.U. geht das nur mit einem echten DN.

 

Wäre dann also nach deinen Angaben:

AuthLDAPBindDN=CN=ldapadmin,OU=IT,OU=Benutzer,OU=AdminUnit,DC=spox,DC=local[/Code]

[bitwicht 10]

@phoenixcp

 

also ohne das @spx-fs

(den server)

 

geht leider auch nicht - gleicher fehler im apache log.

 

das gibts doch garnicht. laut anleitung usw. muss das passen. die werde des ldap pfads haeb cih aus dem ldp browser und auch geprüft das passt alles.

[olc 18]

Hi,

 

kurzer "Schnellschuß": Teste es einmal mit "AuthzLDAPAuthoritative Off".

 

Viele Grüße

olc

[bitwicht 10]

hallo,

 

hat leider auch nichts gebracht ..

–

keiner mehr eine idee ?

–

hat keiner mehr eine idee ?

[phoenixcp 10]

Hallo Bitwicht

 

Sorry, das es dich jetzt erwischt, aber ich bin mittlerweile soweit, das ich nicht mehr die PN's mit Nachfragen zu leider ungeklärten Threads beantworte, sondern direkt im entsprechenden Thread antworte:

 

NEIN, ich habe leider keine weitere Idee zu deinem Problem. Wenn ich diese hätte, dann hätte ich sie hier in deinem Thread kundgetan, ohne das ich mal wieder (wie schon sehr oft), eine weiter nachfragende PN dazu bekomme.

 

Und NEIN, es hilft auch nicht den Thread per Edit oder sonstwas zu pushen. Wir haben eine sehr große Anzahl von Mitgliedern hier in diesem Forum. Niemand kann es beeinflussen wieviele davon deine Frage lesen, wieviele darauf antworten und wieviele Anworten du verwerten kannst.

 

Ich kenne nichtmal das Produkt welches du dort im Einsatz hast und habe nur durch meine bisherigen Erfahrungen geleitet einen "Schuss ins Blaue" gemacht. Schade das er dich nicht weitergebracht hat, aber daran ändern weder PN's noch pushen etwas.

 

Off-Topic:

So, nochmal: es tut mir leid das es gerade dich erwischt hat, aber damit war das schon gut gefüllte Fass endgültig voll. Ich bin es leid, die PNs entsprechend zu beantworten und musste mir an dieser Stelle einfach mal offen Lust verschaffen. Das soll dabei keinerlei Kritik an dir als Person, deinen Fähigkeiten oder Kenntnissen oder deinem Problem darstellen, sondern ist lediglich der Ausbruch eines angestauten Frustes über diverse Member, die den Sinn und Unsinn eines Forums wie dieses nicht erfasst haben oder erfassen können.

 

Trotz allem einen freundlichen Gruß und noch einen schönen Abend

 

wünscht

der Carsten

[olc 18]

Hi,

 

was ich noch merkwürdig finde, ist das folgende:

AuthLDAPBindDN ldapadmin@spx-fs

require ldap-group CN=nagios-web-acc,OU=Nagios,OU=Security,OU=Gruppen,OU=AdminUnit,DC=spox

 

Sag mal - läuft in der Umgebung eine Single Label DNS Domain "SPOX" oder warum fehlt am Ende eine TLD? Außerdem ist sie in beiden Angaben unterschiedlich: 1x "spx-fs" und 1x "spox".

 

Weiter unten schreibst Du dann von "DC=spox,DC=local" - kann es sein, daß diese Angaben schlichtweg beim AuthLDAPBindDN UPN und der Gruppenangabe fehlen oder ist es nur beim Übertragen ins Forum "verloren gegangen"? Falls auch im Original nicht vorhanden, ergänze das "local" einmal und verwende den korrekten UPN.

 

Ansonsten ACK mit Carsten - heftiges "pushen" ist unhöflich. ;)

 

Viele Grüße

olc

[phoenixcp 10]

Sag mal - läuft in der Umgebung eine Single Label DNS Domain "SPOX" oder warum fehlt am Ende eine TLD? Außerdem ist sie in beiden Angaben unterschiedlich: 1x "spx-fs" und 1x "spox".

 

Weiter unten schreibst Du dann von "DC=spox,DC=local" - kann es sein, daß diese Angaben schlichtweg beim AuthLDAPBindDN UPN und der Gruppenangabe fehlen oder ist es nur beim Übertragen ins Forum "verloren gegangen"? Falls auch im Original nicht vorhanden, ergänze das "local" einmal und verwende den korrekten UPN.

 

ja hab ich denn den ganzen Tag Tomaten auf den Augen? Man sieht den Wald vor lauter (LDAP-)Bäumen nicht mehr... Er wird doch nicht etwa.... zu wildes CPM betrieben haben? ;)

[bitwicht 10]

@olc / phoenixcp

sorry für push - danke für die hilft.

 

ich habe nun mal den ldapuser, den testuser und die nagiosgruppe alles in eine OU geschmissen und deise config verwendet:

 

AuthName "Nagios Access"

AuthType Basic

AuthBasicProvider ldap

AuthzLDAPAuthoritative off

AuthLDAPURL ldap://server:389/OU=test,DC=domain,DC=local?sAMAccountName?sub?

AuthLDAPBindDN CN=ldapadmin,OU=test,DC=domain,DC=local

AuthLDAPBindPassword passsssss

require ldap-group CN=nagios-web-acc,OU=test,DC=domain,DC=local

 

der testuser in der ou kann sich anmelden wenn ich anstatt ldap-group ldap-user mache

 

wenn ich aber die gruppe einfüge geht nichts.

 

anscheinend versteht er nicht das er in der gruppe nachsehen soll wer mitglied der gruppe ist ?!?

[olc 18]

Hi,

 

mit der richtigen Syntax sieht alles schon ganz anders aus. ;)

 

Die Gruppenmitgliedschaften sollten schon ausgelesen werden können - ist ja Sinn der Sache. Wenn Du Dich mittels LDP.exe und dem "AuthLDAPBindDN" Benutzer auf dem Server anmeldest, kannst Du dann die "member" (Attribut) auslesen?

 

Ggf. einmal in einen Netzwerktrace schauen - ist ja ein Simple Bind, das sollte Klartext sein.

 

Viele Grüße

olc

[bitwicht 10]

@olc

 

ja habe es schon mit dem lpd.exe getestet,.

 

1. anmeldung mit dem ldapuser

 

2. wenn ich dann hier ger gehe:

CN=nagios-web-acc,OU=test,DC=domain,DC=local

sehe ich im rechten fenster die member.

 

das meintest du doch damit oder wie meintest du es ?

ich verstehe nur nicht warum es mein anmeldescript nicht macht

[olc 18]

Hi,

 

ja - so meinte ich es. Schau am besten einmal in einen Netzwerktrace, was genau auf dem Netz passiert. Oder schau auf dem Domänencontroller mittels ADInSight, was dort genau abgefragt wird.

 

Die Gruppe ist eine "Security Group" im AD und keine "Distribution Group", korrekt?

 

Die AuthzLDAPAuthoritative Option kannst Du meines Erachtens übrigens wieder aktivieren.

 

Was genau meinst Du mit "Anmeldescript"? Du sagtest, es handelt sich um eine ".htaccess" Datei / Authentifizierung. Inwiefern spielt hier ein Anmeldescript eine Rolle?

 

Viele Grüße

olc

[bitwicht 10]

sorry ich meinte mit anmeldescrip eben die htaccess

 

ich habe das mal aufgelesen:

das bekomme ich als antwort:

 

>> Dn: CN=nagios-web-acc,OU=test,DC=spox,DC=local

2> objectClass: top; group;

1> cn: nagios-web-acc;

3> member: CN=ldaxxxxxx,OU=test,DC=spox,DC=local; CN=Tixxx xxxxxxxxx,OU=Produktion,OU=Benutzer,OU=AdminUnit,DC=spox,DC=local;

 

 

netzwerktrace und ADInSight weiß ich noch nicht wie das geht.

muss ich mich mal reinlesen

 

aber kann ich nich irgendwo sehen zb. in den eventlogs und wenn wo? was vom linuxserver angefragt wird?

 

lg

bit

[olc 18]

Hi,

 

Du schneidest einen Netzwerktrace direkt am DC, da Du diesen ja in der ".htaccess" Datei "fest verdrahtet" hast ist das kein Problem. ADInSight läßt Du ebenfalls auf diesem DC laufen. Ist zumindest von der Bedienung recht selbsterklärend.

 

Testweise paß auch einmal den LDAP String an: AuthLDAPURL ldap://server:389/OU=test,DC=domain,DC=local?sAMAccountName?sub? --> ich würde daraus testweise einmal AuthLDAPURL ldap://server:389/OU=test,DC=domain,DC=local?sAMAccountName?sub?(objectClass=*) machen.

 

Bei allen Schritten, die Du jetzt durchführst, solltest Du einen Test nach dem anderen machen und nichts vermengt.

 

Ich habe kein Apache Testsystem hier, daher kann ich es selbst nicht nachstellen. Ist wahrscheinlich nur ein "klitzekleiner" Fehler, da Du ja einen Benutzer selbst authentifizieren kannst, nur nicht die Gruppenmitglieder. Der DN der Gruppe ist definitiv korrekt - oder hat sich hier vielleicht ein Fehler im Pfad eingeschlichen?

 

Viele Grüße

olc

[bitwicht 10]

@olc

 

habe eben mal dieses ADInSight entpackt und geöffnet

habe als filter alles aktiviert.

 

wenn ich jetzt von dem linuxrechner die htaccessanmeldung mache oder auch von einem anderen client via ldp.exe auf die ad zugreife sehe ich im ADInSight GARNICHTS ?!?!

 

ja die gruppe stimmt

CN=nagios-web-acc,OU=test,DC=xxxxx,DC=local

 

habe die mal rauskopiert und in den lpd.exe reingeschmissen.

diese spuckt die werte dann richtig aus.