Zentyal 4.2 LDAP hitelesítés Apachehoz

Linux-kezdő

Üdv!

Mint ahogy a cím is mutatja,kicsit elakadtam a hitelesítéssel.Adott 3 csoport LDAP-ban,és adott 3 weblap virtual hostként Apache-ban. A 1-1 hostot csak 1-1 csoport használhat,és ehhez kellene az LDAP-os autentikáció,viszont nem tudom hogy a .conf fileba milyen attribútumokat kelleni írnom,hogy ez megvalósuljon(gondolom a Zentyal-os LDAP mögött nem OpenLDAP van,mivel annak az attribútumai nem működnek)?

  • 1679 megtekintés

( Polesz v | 2017. 11. 13., h – 19:42 )


AuthName "Charnvel staff only"
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthLDAPUrl ldap://localhost:390/ou=Users,dc=charnvel,dc=co,dc=uk?uid # The user need to enter their uid (logon)
AuthLDAPBindDN cn=zentyalro,dc=charnvel,dc=co,dc=uk
AuthLDAPBindPassword # enter the read only LDAP password from Zentyal
Require ldap-group cn=webapps,ou=Groups,dc=charnvel,dc=co,dc=uk # User needs to be a member of the webapps group to authenticate.
#Require valid-user # User only authentication

--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!

( SzBlackY | 2017. 11. 13., h – 21:00 )

Hogy ne legyen ez is olyan, mint a múltkori...

1) Mit akarsz elérni? Mit jelent a "hostot használni"? A DocumentRoottól kezdve hitelesíteni akarsz?
2) Meddig jutottál? Hogy néznek ki most a konfigjaid? Milyen felhasználók vannak most az LDAP-ban? Samba4 domain (így aki nem használ Zentyalt, az is tud segíteni, mert sima AD-ról beszélünk)? Konzol próbáltál-e ldap-keresgélni azzal a userrel, amire az Apache-ot akarod irányítani? Milyen (vonatkozó) csomagok vannk fenn? Milyen distró milyen verziója?
3) Mi van a logokban? (annál bővebben, hogy hiba. Copy-paste!).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

1., /etc/apache2/sites-available mappában három mappa,rendre az oldalok neveivel és benne a .conf állományokkal.Ezek működnek,az oldalakat el lehet érni,de mindenki el tudja.Itt jönne képbe,hogy csak bizonyos csoportok érhessék el a nekik megfelelő weboldal (lásd csoport1 eléri a valami.ceg.hu-t,de csoport2 már nem tudja).
2.,példa az egyik oldal apache configjára:

https://pastebin.com/bNYJe6zu

Nem tudom milyen domain,gyanítom hogy Samba.Maga az LDAP működik,egy Windows klienssel be tudtam lépni a tartományba,userekkel szintén be lehet lépni a kliensen.
LDAP:
https://imgur.com/a/h645t

3.,Milyen logokra gondolsz?

szerk.: inkább feltettem Pastebin-re a configot

Na, ez már jobb :)

Az AuthLDAPUri-ban első tippre SAMAccountName-re ("Windows 2000 előtti felhasználónév" - pelda.istvan) vagy userPrincipalName-re (pelda.istvan@sftdev.lan) akarsz keresni, nem uid-re. Ráadásul egy ideje alapbeállításon a Samba nem enged simple bindot nem titkosított csatornán (smb.conf ldap server require strong auth = yes a default, allow_sasl_over_tls-ra téve ldaps felett tudsz hozzá csatlakozni).

Kell majd még egy user, amivel az Apache-od azonosítja magát (hozd létre, a Zentyal-t nem ismerem, de ha ssh-n belépsz, samba-tool user add apache), AuthLDAPBindDN CN=apache,CN=Users,DC=... és AuthLDAPBindPassword, amit megadsz neki.

Logok... írtad, hogy hibákat ír az apache az Error log-ba, a hibakódok segítenek ilyenkor.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Felvettem az összes attribútumot az apache configba. service apache2 reload után ezt írja:
https://imgur.com/a/Q8lKs
Error logban semmi sincs (szó szerint semmi,0 B méretű).

A smb.conf-ban se találtam ahhoz hasonlót,mint amit írtál,de itt van,hogy hogy is néz ki most:
https://imgur.com/a/kP6MI

Mellesleg a Samba részemről csak egy tipp volt,mert fogalmam sincs milyen LDAP van mögötte.Hivatalos oldalon semmi info róla,egy másik fórumon olvastam,hogy talán 4.0 fölött az OpenLDAP-ot kicserélték Sambára.
Amúgy Zentyal 4.2,Ubuntu 14.04.

sudo a2enmod authz_ldap mit mond? Úgy tűnik, nincs telepítve vagy engedélyezve a modul.

Az smb.conf-ban nem találod, mert a default yes értéket nem írják ki (ami csúnyább, hogy a man page-ben sincs, de a changelog-be beleírták: https://www.samba.org/samba/history/samba-4.3.8.html) - menj biztosra, írd bele. (ha már LDAPS és Apache - jó eséllyel szükséged lesz egy LDAPVerifyServerCert Off -ra az Apache konfigban, hogy a self-signed certet elfogadja)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( joelzimmer | 2017. 11. 20., h – 17:48 )

Update:
Ez alapján a leírás alapján,már felugrik az autentikációs ablak(step 2-től):
https://www.tecmint.com/enabling-userdir-and-password-protect-web-direc…
Azonban minden adatot beírva és entert ütve Internal server error fogad. Az error logban ennyi fogad:
[authn_file:error] [pid:7077:tid 139751969507072] (9)Bad file descriptor: [client 192.168.230.132:65405] AH01620: Could not open password file: /srv/www/htpass
A /htpass könyvtárban a .htpasswd fájl van,benne a felhasználónevekkel és a hashelt jelszavakkal.
Nem értem miért nem tudja olvasni,holott ls -al azt mutatja,hogy olvasható.
Ötlet?