Zentyal 4.2 LDAP hitelesítés Apachehoz

 ( joelzimmer | 2017. november 13., hétfő - 19:24 )

Üdv!

Mint ahogy a cím is mutatja,kicsit elakadtam a hitelesítéssel.Adott 3 csoport LDAP-ban,és adott 3 weblap virtual hostként Apache-ban. A 1-1 hostot csak 1-1 csoport használhat,és ehhez kellene az LDAP-os autentikáció,viszont nem tudom hogy a .conf fileba milyen attribútumokat kelleni írnom,hogy ez megvalósuljon(gondolom a Zentyal-os LDAP mögött nem OpenLDAP van,mivel annak az attribútumai nem működnek)?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

AuthName "Charnvel staff only"
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthLDAPUrl ldap://localhost:390/ou=Users,dc=charnvel,dc=co,dc=uk?uid # The user need to enter their uid (logon)
AuthLDAPBindDN cn=zentyalro,dc=charnvel,dc=co,dc=uk
AuthLDAPBindPassword # enter the read only LDAP password from Zentyal
Require ldap-group cn=webapps,ou=Groups,dc=charnvel,dc=co,dc=uk # User needs to be a member of the webapps group to authenticate.
#Require valid-user # User only authentication

--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!

Igen,ezt én is megtaláltam,de nem működik. Errort ír az AuthBasicProvider ldap-ra.

szerk.: az AuthLDAPBindPassword-öt se tudnám beírni,mivel a Dashboard-on semmi infot nem ír róla.

Engedélyezted az ldap modult az apacheban?

--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!

Hogy ne legyen ez is olyan, mint a múltkori...

1) Mit akarsz elérni? Mit jelent a "hostot használni"? A DocumentRoottól kezdve hitelesíteni akarsz?
2) Meddig jutottál? Hogy néznek ki most a konfigjaid? Milyen felhasználók vannak most az LDAP-ban? Samba4 domain (így aki nem használ Zentyalt, az is tud segíteni, mert sima AD-ról beszélünk)? Konzol próbáltál-e ldap-keresgélni azzal a userrel, amire az Apache-ot akarod irányítani? Milyen (vonatkozó) csomagok vannk fenn? Milyen distró milyen verziója?
3) Mi van a logokban? (annál bővebben, hogy hiba. Copy-paste!).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

1., /etc/apache2/sites-available mappában három mappa,rendre az oldalok neveivel és benne a .conf állományokkal.Ezek működnek,az oldalakat el lehet érni,de mindenki el tudja.Itt jönne képbe,hogy csak bizonyos csoportok érhessék el a nekik megfelelő weboldal (lásd csoport1 eléri a valami.ceg.hu-t,de csoport2 már nem tudja).
2.,példa az egyik oldal apache configjára:

https://pastebin.com/bNYJe6zu

Nem tudom milyen domain,gyanítom hogy Samba.Maga az LDAP működik,egy Windows klienssel be tudtam lépni a tartományba,userekkel szintén be lehet lépni a kliensen.
LDAP:
https://imgur.com/a/h645t

3.,Milyen logokra gondolsz?

szerk.: inkább feltettem Pastebin-re a configot

Na, ez már jobb :)

Az AuthLDAPUri-ban első tippre SAMAccountName-re ("Windows 2000 előtti felhasználónév" - pelda.istvan) vagy userPrincipalName-re (pelda.istvan@sftdev.lan) akarsz keresni, nem uid-re. Ráadásul egy ideje alapbeállításon a Samba nem enged simple bindot nem titkosított csatornán (smb.conf ldap server require strong auth = yes a default, allow_sasl_over_tls-ra téve ldaps felett tudsz hozzá csatlakozni).

Kell majd még egy user, amivel az Apache-od azonosítja magát (hozd létre, a Zentyal-t nem ismerem, de ha ssh-n belépsz, samba-tool user add apache), AuthLDAPBindDN CN=apache,CN=Users,DC=... és AuthLDAPBindPassword, amit megadsz neki.

Logok... írtad, hogy hibákat ír az apache az Error log-ba, a hibakódok segítenek ilyenkor.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Felvettem az összes attribútumot az apache configba. service apache2 reload után ezt írja:
https://imgur.com/a/Q8lKs
Error logban semmi sincs (szó szerint semmi,0 B méretű).

A smb.conf-ban se találtam ahhoz hasonlót,mint amit írtál,de itt van,hogy hogy is néz ki most:
https://imgur.com/a/kP6MI

Mellesleg a Samba részemről csak egy tipp volt,mert fogalmam sincs milyen LDAP van mögötte.Hivatalos oldalon semmi info róla,egy másik fórumon olvastam,hogy talán 4.0 fölött az OpenLDAP-ot kicserélték Sambára.
Amúgy Zentyal 4.2,Ubuntu 14.04.

sudo a2enmod authz_ldap mit mond? Úgy tűnik, nincs telepítve vagy engedélyezve a modul.

Az smb.conf-ban nem találod, mert a default yes értéket nem írják ki (ami csúnyább, hogy a man page-ben sincs, de a changelog-be beleírták: https://www.samba.org/samba/history/samba-4.3.8.html) - menj biztosra, írd bele. (ha már LDAPS és Apache - jó eséllyel szükséged lesz egy LDAPVerifyServerCert Off -ra az Apache konfigban, hogy a self-signed certet elfogadja)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

A modul engedélyezve,és újraindítva ki is írja,hogy már engedélyezve van.
Mindent felvettem a configokba amit írtál,service apache2 reloadnál semmi error,de mégse működik(olyan értelemben,hogy még mindig bárki el tudja érni a lapokat).

Idézet:
újraindítva ki is írja,hogy már engedélyezve van.

Mit indítva újra? Az apachectl configtest még mindig írja a fenti üzit? Access/error logokban látszik valami?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Nem,a service apache2 reload/restart semmi errort nem ír.Az error logok továbbra is 0 B.

Update:
Ez alapján a leírás alapján,már felugrik az autentikációs ablak(step 2-től):
https://www.tecmint.com/enabling-userdir-and-password-protect-web-directoires-on-zentyal/
Azonban minden adatot beírva és entert ütve Internal server error fogad. Az error logban ennyi fogad:
[authn_file:error] [pid:7077:tid 139751969507072] (9)Bad file descriptor: [client 192.168.230.132:65405] AH01620: Could not open password file: /srv/www/htpass
A /htpass könyvtárban a .htpasswd fájl van,benne a felhasználónevekkel és a hashelt jelszavakkal.
Nem értem miért nem tudja olvasni,holott ls -al azt mutatja,hogy olvasható.
Ötlet?

Ez alapján tudni fogod mi a baj, és hogyan javítsd:

https://support.plesk.com/hc/en-us/articles/115000064009-Cannot-add-or-enter-into-Password-Protected-Directory-13-Permission-denied-Could-not-open-password-file

-
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!

Ha a chmodra gondolsz,az már megvolt korábban(lásd az előző linkelt oldalt),és változatlanul ezt írja.