mod_auth_sspi

Alles, was den Apache betrifft, kann hier besprochen werden.

mod_auth_sspi

Postby PeterB » 15. February 2005 23:03

Hey,

ich versuche seit einer Weile eine authentifizierung des Users auf meiner Windows Domain durchzuführen. Nachforschungen haben ergeben, daß es ein modul (mod_auth_sspi) gibt das dieses machen soll. Allerdings bekomme ich es nich ganz zum laufen:

Ich betreibe einen Apche 2.0.49 auf einem Win 2k-Server. Wenn ich einen bestimmten bereich mittel <location >AuthType SSPI ect....</location> schütze, dann bekomme ich ein Fenster, wo ich meinen Benutzernamen, Passwort und Domain angeben kann. Allerdings bekomme ich trotz korrekter eingaben den Fehler, daß der Server mich nich auth. kann.

Im error.log vom apache steht drinnen, daß er den Context nicht erstellen kann.

Hat jemand eine Idee? Leider konnte ich die hauptseite von mod_auth_sspi auch nich finden.....

Hilfe

Peter
PeterB
 
Posts: 11
Joined: 15. February 2005 22:21

Postby Wiedmann » 15. February 2005 23:36

Hilfreich wäre, wie deine ganzen Konfigurationsanweisungen bezüglich dieses Modules aussehen.
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby PeterB » 16. February 2005 08:40

in der Httpd.conf:

LoadModule sspi_auth_module modules/mod_auth_sspi.so

<Location "/">
AuthName "Intranet Auth"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
SSPIDomain MYDOMAIN
SSPIOfferBasic off #let non-IE clients authenticate
Require valid-user
</Location>

ansonsten habe ich keine Konfiguration vorgenommen, da ich keine weitere optionen gefunden habe so wirklich.
PeterB
 
Posts: 11
Joined: 15. February 2005 22:21

Postby Wiedmann » 16. February 2005 11:02

Gibt es denn die Domain "MYDOMAIN" in deinem Netz?

Wenn ja, dass ist auch eine NT4-Domain? (W2k-DC im gemischten Modus)

Unter welchem Benutzer läuft denn dein Apache?
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby PeterB » 16. February 2005 11:46

mein Apache läuft als Service (user=SYSTEM)

MYDOMAIN gibt es im netz Aber dazu auch eine Frage: muß der Domain Controler direct mit der IP-Adresse angesprochen werden oder muß der Name der Domain eingetragen werden....warum ich frage ist folgender. Wenn ich versuche mich zu auth. und es fehlschlägt, dann wird ein Eintrag in die Windows event logs geschrieben (security)..Failure Audit. Mit der Event ID= 537. Laut microsoft ein unidentifizeirter Fehler. Dann steht bei Privileges noch: SeIncreaseBasePriorityPrivilege

Ich werde unseren admin nochmal fragen ob es auhc wirklich eine NT4 domain ist. sonst nohc eine Idee?
PeterB
 
Posts: 11
Joined: 15. February 2005 22:21

Postby Wiedmann » 16. February 2005 12:23

muß der Domain Controler direct mit der IP-Adresse angesprochen werden oder muß der Name der Domain eingetragen werden

Der Name der Domain.
Du kannst allerdings auch mal die Directive "SSPIDomain" ganz weg lasen. Dann nimmt er erst die Benutzer vom lokalen Computer, und dann die Domain zu der der Computer gehört. Gerade mit einem lokalen Benutzer kannst du ja zumindest dann mal grundlegend die Funktion testen.

mein Apache läuft als Service (user=SYSTEM)

Lass den Service mal unter einem gültigen lokalen/Domain-Konto laufen zum Test.

Im error.log vom apache steht drinnen, daß er den Context nicht erstellen kann.

Wie sieht dann diese Meldung genau aus?
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby PeterB » 16. February 2005 12:35

der fehler sieht so aus:

[Wed Feb 16 11:34:59 2005] [error] [client 127.0.0.1] (OS 87)The parameter is incorrect. : authentication failure for "/error/HTTP_UNAUTHORIZED.html.var": user unknown, reason: cannot generate context

was den OS-Code angeht habe ich nicht rausgefunden, was der bedeutet.

diese Meldung wird jedesmal generriert, wenn die auth. fehlschlägt.

Lass den Service mal unter einem gültigen lokalen/Domain-Konto laufen zum Test.


das hab ich auch schon probiert. Leider mit dem gleichen Ergebniss.

Du kannst allerdings auch mal die Directive "SSPIDomain" ganz weg lasen.


Gerde probiert gleiches Ergebniss
PeterB
 
Posts: 11
Joined: 15. February 2005 22:21

Postby Wiedmann » 16. February 2005 14:05

Als bei mit tut das, mit einem lokalen Benutzer. Die selben Parameter wie bei dir, hab nur "SSPIDomain" weggelassen (--> hab hier keine Domain, sondern nur eine Workgroup), das ganze in einer ".htaccess".

Testet du den Zugriff lokal oder von einem anderen PC aus. evtl noch folgendes mit reinmachen:
Order allow,deny
Allow from all
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby PeterB » 16. February 2005 14:31

das ganze in einer ".htaccess".


könntest du die mal bitte Posten
PeterB
 
Posts: 11
Joined: 15. February 2005 22:21

Postby Wiedmann » 16. February 2005 14:46

Wie gesagt. Ist im Pronzip orginal deine. Das gaze hab ich zum Testen einfach mal in den "\xampp\htdocs" in eine ".htaccess" reingetan (auch wenn es in der httpd.conf genauso gehen sollte):
Code: Select all
AuthName "Intranet Auth"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
#SSPIDomain MYDOMAIN
SSPIOfferBasic off #let non-IE clients authenticate
Require valid-user
Order allow,deny
Allow from all
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby PeterB » 16. February 2005 14:58

wenn ich das ganze jetzt in meine htaccess.acc (das habe ich auch so in der httpd.conf umbenannt), dann gar nicht durch und gibt mir auch kein Fenster um mich authentifizieren zu könne. Fehlt mir da ein modul?
PeterB
 
Posts: 11
Joined: 15. February 2005 22:21

Postby Wiedmann » 16. February 2005 15:03

Hm. Un in der error.log?

Tut eigentlich ein herkömmliches Auth?
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby PeterB » 16. February 2005 15:08

da steht das drinnen:

Code: Select all
49:35 2005] [error] [client 127.0.0.1] client denied by server configuration: C:/DB4OEE/My_Intranet
PeterB
 
Posts: 11
Joined: 15. February 2005 22:21

Postby PeterB » 16. February 2005 17:38

ich habs jetzt soweit getrckt, daß das Modul ein Problem hat den sspi context zu erstellen bzw. bekommt er vom DS ein INVALID_TOKEN zurück. Könnten wir mal einen Versionsvergleich machen?

Apache 2.0.49 mit mod_auth_sspi 1.0.1 (so wie es mit xampp mitgeliefert wurde)
PeterB
 
Posts: 11
Joined: 15. February 2005 22:21

Postby Wiedmann » 16. February 2005 18:35

bekommt er vom DS ein INVALID_TOKEN zurück.

Ohne die Directive "SSPIDomain" sollte ja der DC egal sein, weil da ein lokaler Benutzer genommen wird *denk*. Gibts denn lokale Benutzer zum testen? Ansonsten könnts natürlich auch an der Secuity-Policity liegen. (verschlüsselte Kommunikation, NTLM oder NTLM2 usw.). Das Modul ist da eher simpel gestrickt.

Könnten wir mal einen Versionsvergleich machen?

Apache ist grad 2.0.53 (das ging aber schon mit älteren Versionen). mod_auth_sspi ist auch in der Version 1.0.1.
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Next

Return to Apache

Who is online

Users browsing this forum: No registered users and 4 guests