RE: FW: mod_auth_ldap

2008-01-04 Diskussionsfäden Dietrich, Martin 
Sorry, Typo
Ich habe Version 2.0.61, nicht 41

Regards,
Martin Dietrich

FW: mod_auth_ldap

2008-01-03 Diskussionsfäden Dietrich, Martin 
Hallo.

Ich habe ein Problem mit der Authentifizierung von Usern „gegen“ unser 
Unternehmens-LDAP Directory, und möchte auf diesem Weg erfahren, ob es sich um 
einen Bug, ein Feature oder eine Wissenslücke handelt ☺

Die Situation:

Ich habe einen Apache 2.0.41 mit mod_ldap/mod_auth_ldap
Der LDAP Server erlaubt keine anonyme Suche, weshalb ich per AuthLDAPBindDN und 
AuthLDAPBindPassword einen generischen User zum Binden verwende, um danach dann 
den „eigentlichen“ user zu suchen und zu Binden.
Die gute Nachricht: Es klappt. 
Die schlechte: nur 5 Minuten.

Bisher haben meine Analysen ergeben, dass der LDAP Server das Binding meiner 
generischen Id nach ungefähr 5 Minuten Inaktivität löst.
(Nachvollzogen mit einem LDAP-Browser)
Das Problem ist nur, das mod_auth_ldap damit scheinbar nicht umgehen kann.
In der Praxis bedeutet das, das sich die Nutzer anmelden können, und auch alles 
OK ist, solange keine 5 Minuten inaktivität besteht.
Sobald dies eintritt, wird dem User die Eingabemaske für die Credentials 
angezeigt.
Per Firebug habe ich aber gesehen, dass password und username übermittelt 
wurden.
Im error-log ist zu lesen:

[5400] auth_ldap authenticate: user dietrich.m.3 authentication failed; URI 
/php/script.gui [LDAP: ldap_simple_bind_s() failed][Unavailable], referer: 
http://myserver/php/script.gui

Ich habe mal versucht die mod_ldap directiven 
LDAPCacheTTL und auch LDAPOpCacheTTL auf Werte kleiner 5 Minuten (und auch nahe 
0) zu setzen, um ein erneutes Bind zu erzwingen – leider ohne Erfolg.
Die Cache-Directiven scheinen keinen Einfluß auf das Binding mit der 
generischen ID zu haben. 
Dieses wird immer gehalten, und führt nach dem close auf Seite des LDAP-Servers 
nicht zu einem Re-Bind, sondern zu einem Fehler…

Die relevanten Settings meiner httpd.conf:

 LDAP Configurations
LDAPSharedCacheSize 20
LDAPCacheEntries 1024
LDAPCacheTTL 0
LDAPOpCacheEntries 1024
LDAPOpCacheTTL 100

AuthLDAPEnabled on

AuthLDAPBindDN uid=guser,ou=people,ou=firma,o=world
AuthLDAPBindPassword geheim
AuthLDAPURL 
ldap://groupservice.firma.com:989/ou=people,ou=firma,o=world?extshortname
AuthName LDAP-Status

AuthLDAPAuthoritative on
Require valid-user

Ich bin für jeden Hinweis dankbar !
Regards,
Martin Dietrich

Re: FW: mod_auth_ldap

2008-01-03 Diskussionsfäden Falk Hackenberger 
Hallo Martin,

das der Ldap server das Problem ist, kanst Du ausschließen?

falk

--
Apache HTTP Server Mailing List users-de 
  unsubscribe-Anfragen an [EMAIL PROTECTED]
   sonstige Anfragen an [EMAIL PROTECTED]
--

Re: FW: mod_auth_ldap

2008-01-03 Diskussionsfäden Max Dittrich 

Dietrich, Martin schrieb:

Hallo.

Ich habe ein Problem mit der Authentifizierung von Usern „gegen“ unser 
Unternehmens-LDAP Directory, und möchte auf diesem Weg erfahren, ob es sich um 
einen Bug, ein Feature oder eine Wissenslücke handelt ☺

Die Situation:

Ich habe einen Apache 2.0.41 mit mod_ldap/mod_auth_ldap
Der LDAP Server erlaubt keine anonyme Suche, weshalb ich per AuthLDAPBindDN und 
AuthLDAPBindPassword einen generischen User zum Binden verwende, um danach dann 
den „eigentlichen“ user zu suchen und zu Binden.
Die gute Nachricht: Es klappt. 
Die schlechte: nur 5 Minuten.


Vielleicht hilft ein Update auf eine neuere Version des Apaches.

aus http://www.apache.org/dist/httpd/CHANGES_2.0
unter   Changes with Apache 2.0.50


  *) mod_ldap calls ldap_simple_bind_s() to validate the user
 credentials.  If the bind fails, the connection is left
 in an unbound state.  Make sure that the ldap connection
 record is updated to show that the connection is no longer
 bound. [Brad Nicholes]


[...]

Grüsse,
.max


--
   Apache HTTP Server Mailing List users-de 
 unsubscribe-Anfragen an [EMAIL PROTECTED]

  sonstige Anfragen an [EMAIL PROTECTED]
--