Daniel1
-
Gesamte Inhalte
3 -
Benutzer seit
-
Letzter Besuch
Inhaltstyp
Profile
Forum
Downloads
Kalender
Blogs
Shop
Beiträge von Daniel1
-
-
Hi, vielen Dank für deine Antwort.
Die User sollen sich nicht im system anmelden können.
Mittlerweilen hab ich dann auch mitgekriegt, dass mod_auth_basic erst ab Apache 2.1 verfügbar ist, wir betreiben aber einen 2.0.x.
Also die Frage ist nun ganz einfach:
Wie kann man die Reihenfolge der Authentifizierungsmodule beim Apache 2.0.x ändern, vergleichbar mit AuthBasicProvider beim Apache 2.2.x.
-
Hallo Zusammen,
Ich habe die Aufgabe die Autorisierung auf einem Apache 2 umzustellen.
Momentan läuft die Autoriesierung über generierte User und Gruppen Files.
Zukünftig sollen User über LDAP authentifiziert werden und anschließend in einem Gruppen File nach der Berechtigung gesehen werden.
Die ganze Geschichte geschieht in .htacces Files.
Ich Copy+Paste mal Teile einer Email die ich einem Kollegen geschrieben, also nicht wunders falls manche Informationen nun doppelt gennant wurden.
Bestes Ergebnis dass ich bisher erzielen konnte war folgendes:User gibt richtigen Benutzernamen + Passwort ein und ist in der Gruppe -> Zugang
User gibt richtigen Benutzernamen + Passwort ein ist aber _nicht_ in der Gruppe -> 'Internal Server Error'
User gibt falschen Benutzernamen ein (Passwort egal) -> 'Internal Server Error'
Ich kann die Fehler alle nachvollziehen, doch erstmal die .htaccess-Datei:
AuthLDAPEnabled On AuthLDAPURL ldap://XXXXX AuthLDAPBindDN "XXXXX" AuthLDAPBindPassword XXXXX AuthLDAPAuthoritative Off AuthUserFile /XXXX/user-leer (<- leeres Userfile ) AuthGroupFile /XXXXX/groups.new AuthAuthoritative Off AuthName "XXXXXX" AuthType Basic <Limit GET POST PUT> require group Group1 </Limit>
Der 'Internal Server Error' kommt wohl daher, dass bei beiden Modulen 'Authoritative Off' angegeben ist und er dann am Ende, falls User+Gruppe nicht korrekt sind, an ein weiteres Modul weitergeben will welches aber nicht existiert. Soweit so gut. Da aber 'mod_auth' anscheinend eine höhere Priorität als 'mod_auth_ldap' hat ist es nicht möglich eines der Authoritativen auf On zu stellen. (Die Reihenfolge in der wir die Module laden, hatte keinen Einfluss) Würde ich 'AuthAuthoritative On' stellen, so würde man den User nicht im leeren Userfile finden und hier beenden. Stelle ich 'AuthLDAPAuthoritative On', so kann er zwar den User identifizieren aber es wird nicht weiter auf die Gruppe im File geprüft - Allerdings wird geprüft ob er in der Gruppe im LDAP ist. Ich denke wenn man die Reihenfolge ändern würde, zuerst soll im LDAP gesucht werden dann im File, könnt man AuthAuthoritative On stellen: User wird im LDAP gesucht, falls vorhanden wird nach der Gruppezugehörigkeit in LDAP gesucht. Kein erfolg -> nächstes Modul: mod_auth Nun wird im Gruppenfile gesucht. Sollte nichts matchen, ist die Authentifizierung fehlgeschlagen. Nach meinen Recherchen könnte man die Reihenfolge durch 'AuthBasicProvider' bestimmen, dazu braucht man allerdings ein extra Modul 'mod_auth_basic' welches wir nicht haben. Die .htaccess-Datei würde dann in etwa so aussehen:AuthBasicProvider ldap file AuthLDAPEnabled On AuthLDAPURL ldap://XXXXX AuthLDAPBindDN "XXXXX" AuthLDAPBindPassword XXXXX AuthLDAPAuthoritative Off AuthUserFile /XXXXX/user-leer (<- leeres Userfile ) AuthGroupFile /XXXXX/groups.new AuthAuthoritative On AuthName "XXXXXX" AuthType Basic <Limit GET POST PUT> require group group1 </Limit>
Also folgende Fragen habe ich:
1. Ist meine Vermutung richtig, dass ein Tauschen der Reihenfolge zum gewünshten Ergebnis führt?
2. Stimmt es, dass ich das Module 'mod_auth_basic' brauche und anschließend das Kommando 'AuthBasicProvider ldap file' verwenden kann um die Reihenfolge zu ändern?
PS: Um dieses Modul zu implementieren würde das über mehrere Instanzen laufen, daher will ich zuerst sicher gehen.
Ich freue mich auf Antworten, Vielen Dank schonmal.
Apache2 gemischte Autorisierung File/LDAP
in Rootserver - Vserver - Webspace
Geschrieben
Jo, "eigen" ist das richtige Wort :>
Der Grund für das Vorgehen ist ganz einfach, auf LDAP hab ich nur lesenden Zugriff, daher müssen die Gruppen über File realisiert werden. Mit mod_auth_basic würde es aber funktionieren, habe das mal auf einem 2.2.x getestet.
Die Sache liegt nun erstmal auf Eis:(