Apache2, mod-auth-kerb + Authoritative handler (solved)
Hallo, ich hatte bis gestern unter einem Etch-System den Apache 2.0.55 im Einsatz. mod-auth-kerb funtionierte anstandslos mit der folgenden Direktive: Location /trac AuthType Kerberos AuthName Trac KrbMethodNegotiate on KrbAuthRealms MEDICPROOF.INTERN KrbServiceName HTTP KrbSaveCredentials on KrbMethodK5Passwd on KrbAuthoritative off Krb5Keytab /var/lib/apache2/http.keytab require valid-user /Location Ich kam dann auf die Idee den Apache2 samt Abhängigkeiten auf die Version 2.2 upzugraden. Resultat: Ja, der Apache2 macht wirklich einen SegFault wenn das Modul mod-auth-kerb geladen wird. Klasse. 2.0.55 gibts nicht mehr in etch, also mal eben die Sources von sid in die sources.list eingetragen und den Apache (und die Module) von sid installiert. Der Apache ließ sich dann schon wenigstens starten. Dass mir dabei bei dem Upgrade von 2.0.55 auf 2.2.3 meine Keytab-Datei gelöscht worden war ist mir dann auch noch aufgefallen. Die Datei konnte ich aber dann wiederherstellen / neu erstellen. Leider habe ich immer noch Probleme mit der Authentifikation: access to /trac/project/timeline failed, reason: require directives present and no Authoritative handler. Mein require valid-user ist wichtig, wenn ich es deaktiviere komme ich auch auf die Seiten. Naja, ich habe nun wenigstens jetzt auch direkt Abhilfe gefunden: # a2enmod authz_user und ein anschließender Apache2-Neustart behoben das Problem. Scheinbar ist also wohl einiges unter der Haube des Apache verändert worden. Und ich habe festgestellt dass es sich also doch lohnt eine E-Mail mal über eine halbe Stunde verteilt zu schreiben weil man evtl. gleich die Lösung findet. daher diese E-Mail einfach fürs Archiv. Paul -- : Bitte einen Realname benutzen, unter dem Zitat antworten : und einfache Text-Mails senden (kein HTML). : Danke. signature.asc Description: Digital signature
Re: Apache2, mod-auth-kerb + Authoritative handler (solved)
On Tue, Nov 07, 2006 at 09:38:00AM +0100, Paul Puschmann wrote: Moin, Leider habe ich immer noch Probleme mit der Authentifikation: access to /trac/project/timeline failed, reason: require directives present and no Authoritative handler. Mein require valid-user ist wichtig, wenn ich es deaktiviere komme ich auch auf die Seiten. Naja, ich habe nun wenigstens jetzt auch direkt Abhilfe gefunden: # a2enmod authz_user und ein anschließender Apache2-Neustart behoben das Problem. Hm, wenn ich gleichzeitig den SSPI-Trouble auf trac-users lese und im Kopf habe, daß ich mit mod_ldap noch nie irgendwelche Probleme hatte: Gibt es Gründe, Kerberos oder SSPI anstatt LDAP(s) zu verwenden? Rainer -- Apache HTTP Server Mailing List users-de unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: Apache2, mod-auth-kerb + Authoritative handler (solved)
On Tue, Nov 07, 2006 at 09:49:30AM +0100, Rainer Sokoll wrote: On Tue, Nov 07, 2006 at 09:38:00AM +0100, Paul Puschmann wrote: Moin, Leider habe ich immer noch Probleme mit der Authentifikation: access to /trac/project/timeline failed, reason: require directives present and no Authoritative handler. Mein require valid-user ist wichtig, wenn ich es deaktiviere komme ich auch auf die Seiten. Naja, ich habe nun wenigstens jetzt auch direkt Abhilfe gefunden: # a2enmod authz_user und ein anschließender Apache2-Neustart behoben das Problem. Hm, wenn ich gleichzeitig den SSPI-Trouble auf trac-users lese und im Kopf habe, daß ich mit mod_ldap noch nie irgendwelche Probleme hatte: Gibt es Gründe, Kerberos oder SSPI anstatt LDAP(s) zu verwenden? Für mich: Es gibt kein fertiges libapache2-mod-auth-ldap für Debian (zumindest kenne ich keine Quelle). LDAP würde ich evtl. sogar nutzen. Mit Kerberos funktioniert mit trac und OTRS ganz gut (wenn man mal von den @REALM.NAME absieht). Das ist ein Nachteil. Ich baue gerade an einem Customer-Backend für OTRS (per MS-SQL) und werde als nächsten Schritt ein internes Customer-Backend / Agent-Backend dann mit LDAP-Auth aufsetzen (direkt aus OTRS). Neue / andere Wege schaue ich mir gerne an. Gruß, Paul -- : Bitte einen Realname benutzen, unter dem Zitat antworten : und einfache Text-Mails senden (kein HTML). : Danke. signature.asc Description: Digital signature
Re: Apache2, mod-auth-kerb + Authoritative handler (solved)
On Tue, Nov 07, 2006 at 10:21:40AM +0100, Paul Puschmann wrote: On Tue, Nov 07, 2006 at 09:49:30AM +0100, Rainer Sokoll wrote: On Tue, Nov 07, 2006 at 09:38:00AM +0100, Paul Puschmann wrote: Moin, Leider habe ich immer noch Probleme mit der Authentifikation: access to /trac/project/timeline failed, reason: require directives present and no Authoritative handler. Mein require valid-user ist wichtig, wenn ich es deaktiviere komme ich auch auf die Seiten. Naja, ich habe nun wenigstens jetzt auch direkt Abhilfe gefunden: # a2enmod authz_user und ein anschließender Apache2-Neustart behoben das Problem. Hm, wenn ich gleichzeitig den SSPI-Trouble auf trac-users lese und im Kopf habe, daß ich mit mod_ldap noch nie irgendwelche Probleme hatte: Gibt es Gründe, Kerberos oder SSPI anstatt LDAP(s) zu verwenden? Für mich: Es gibt kein fertiges libapache2-mod-auth-ldap für Debian (zumindest kenne ich keine Quelle). Autsch! Ein Blick in /etc/apache2/mods-available zeigt mir, dass es per default schon da ist! Sorry. Paul -- : Bitte einen Realname benutzen, unter dem Zitat antworten : und einfache Text-Mails senden (kein HTML). : Danke. signature.asc Description: Digital signature
Single-Sign-On-Techniken
Hallo, ich nutze bei uns mod-auth-kerb und bin damit einigermaßen glücklich. Es funktioniert (wenn man einmal raushat _wie_ es geht) ganz gut, man muss nur darauf achten die Uhren auf den verschiedenen Servern schön synchron zu halten. SSO funktioniert auch einwandfrei, auch mit dem Firefox. Opera mag da noch nicht so recht, aber das ist ja ein Client-Problem. Meine Frage, da ich nicht besonders viel in $Suchmaschine gefunden habe, lautet: - Gibt es noch andere Techniken, mit denen ich Single-Sign-On umsetzen kann? - Kann ich mit LDAP SSO machen? Umfeld: Windows Server 2003 Domäne (Active-Directory), die Clients sind alle Windows XP SP2, Firefox und IE6 / IE7 als Browser Wir verwenden auf dem Server trac, subversion und OTRS. Vielleicht könnt Ihr ja die folgende Liste ergänzen? (+ für positiv, - für negativ) Kerberos: + Internet Explorer läuft + Firefox funktioniert (nach Änderung der Konfig.) - die Zeitabweichung zwischen den Servern ist beschränkt - hässliche Benutzervariable: [EMAIL PROTECTED] - Einschränkung nur durch valid-user ... - Zusatz-Modul des Apache LDAP: + granulare Einstellung der erlaubten User durch Abfrage auf Gruppenmitgliedschaften und andere Attribute im Active-Directory + Standard-Modul des Apache ? SSO mit IE / FF? Wie geht es weiter? Gruß, Paul -- : Bitte einen Realname benutzen, unter dem Zitat antworten : und einfache Text-Mails senden (kein HTML). : Danke. signature.asc Description: Digital signature
Re: Single-Sign-On-Techniken
On Tue, Nov 07, 2006 at 01:50:09PM +0100, Paul Puschmann wrote: LDAP: + granulare Einstellung der erlaubten User durch Abfrage auf Gruppenmitgliedschaften und andere Attribute im Active-Directory + Standard-Modul des Apache ? SSO mit IE / FF? Weder noch. Rainer -- Apache HTTP Server Mailing List users-de unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: Single-Sign-On-Techniken
On Tue, Nov 07, 2006 at 01:52:56PM +0100, Rainer Sokoll wrote: On Tue, Nov 07, 2006 at 01:50:09PM +0100, Paul Puschmann wrote: LDAP: + granulare Einstellung der erlaubten User durch Abfrage auf Gruppenmitgliedschaften und andere Attribute im Active-Directory + Standard-Modul des Apache ? SSO mit IE / FF? Weder noch. Aha. dann ist das nämlich der Grund warum bei uns halt Kerberos eingesetzt wird (in Bezug auf deine Antwort aus dem anderen Thread von heute). Ich habe auch nur div. Hinweise gefunden, dass man zwischen verschiedenen Apache-Instanzen SSO (per LDAP) durchführen kann aber da es vom Client ja nicht funktioniert... (Wie sollte es auch funktionieren!?) Paul -- : Bitte einen Realname benutzen, unter dem Zitat antworten : und einfache Text-Mails senden (kein HTML). : Danke. signature.asc Description: Digital signature