ich habe derzeit das Problem, dass für eine Applikation (Nagios) nach einer Migration von Apache 2.0.46 auf 2.2.15 die LDAP-Authentifizierung nicht mehr wie geplant funktioniert. Durch einen Versionssprung wurde das LDAP-Modul mod_auth_ldap durch mod_authnz_ldap ersetzt. Für meine Distribution (RHEL 6.1) gibt es leider keine Möglichkeit das "alte" mod_auth_ldap zu verwenden, es steht nicht mehr als Paket zur Verfügung.
Mein Problem ist, dass die alte Konfiguration der Webapplikation nun natürlich nicht mehr auf das neue Modul passt. Ich habe Anhand der Modulhilfe die Konfiguration auf das neue Modul portiert, aber irgendwo habe ich wohl einen Fehler drin - es sind keine Zugriffe möglich, was sich im Log wie folgt zeigt:
- Code: Select all
[debug] mod_authnz_ldap.c(393): [client 192.168.1.23] [26312] auth_ldap authenticate: using URL ldap://192.168.1.22:3268/DC=bla,DC=blaroot,DC=loc
[Mon Dec 05 09:33:16 2011] [info] [client 192.168.1.23] [26312] auth_ldap authenticate: user max.mustermann authentication failed; URI /nagios/ [User not found][No such object]
[Mon Dec 05 09:33:16 2011] [error] [client 192.168.1.23] user max.mustermann not found: /nagios/
Hat einer von euch einen Tipp für mich? Ich habe mich die letzten drei Tage mit diversen Wikis und Blogs beschäftigt und glaube ich sehe mittlerweile den Wald vor lauter Bäumen nicht mehr.
Die alte Anwendung wurde wie folgt unter Apache konfiguriert:
- Code: Select all
# grep "ldap" /etc/httpd/conf/httpd.conf
LoadModule auth_ldap_module /usr/lib/httpd/modules/mod_auth_ldap.so
# cat /etc/httpd/conf.d/nagios.conf
ScriptAlias /nagios/cgi-bin "/usr/lib/nagios/cgi"
<Directory "/usr/lib/nagios/cgi">
Options ExecCGI
AllowOverride None
Order allow,deny
Allow from all
AuthName "Nagios Access - ldap"
AuthType Basic
LDAP_Debug On
LDAP_Protocol_Version 3
LDAP_Server 192.168.1.22
LDAP_Port 3268
Base_DN "DC=bla,DC=blaroot,DC=loc"
Bind_DN "CN=SU-Nagiosldap,OU=Service Accounts,OU=Administration,OU=BLA-Services,DC=bla,DC=blaroot,DC=loc"
Bind_Pass "..."
UID_Attr sAMAccountName
Group_Attr member
SupportNestedGroups Off
require group "CN=BLA-SG-Nagios,OU=Admins Groups,OU=Administration,OU=BLA-Services"
</Directory>
Alias /nagios "/usr/share/nagios"
<Directory "/usr/share/nagios">
Options None
AllowOverride None
Order allow,deny
Allow from all
AuthName "Nagios Access - ldap"
AuthType Basic
LDAP_Debug On
LDAP_Protocol_Version 3
LDAP_Server 192.168.1.22
LDAP_Port 3268
Base_DN "DC=bla,DC=blaroot,DC=loc"
Bind_DN "CN=SU-Nagiosldap,OU=Service Accounts,OU=Administration,OU=BLA-Services,DC=bla,DC=blaroot,DC=loc"
Bind_Pass "..."
UID_Attr sAMAccountName
Group_Attr member
SupportNestedGroups Off
require group "CN=BLA-SG-Nagios,OU=Admins Groups,OU=Administration,OU=BLA-Services"
</Directory>
Im neuen Apache sieht das Ganze derzeit wie folgt aus:
- Code: Select all
# grep "ldap" /etc/httpd/conf/httpd.conf
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
# cat /etc/httpd/conf.d/nagios.conf
ScriptAlias /nagios/cgi-bin "/usr/local/nagios/sbin"
<Directory "/usr/local/nagios/sbin">
Options ExecCGI
AllowOverride None
AuthName "Nagios Access"
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative Off
AuthLDAPBindDN "CN=SU-Nagiosldap,OU=Service Accounts,OU=Administration,OU=BLA-Services,DC=bla,DC=blaroot,DC=loc"
AuthLDAPBindPassword "..."
AuthLDAPURL "ldap://192.168.1.22:3268/DC=bla,DC=blaroot,DC=loc"
require ldap-group "CN=BLA-SG-NagiosAccess,OU=Admins Groups,OU=Administration,OU=BLA-Services,DC=bla,DC=blaroot,DC=loc?sAMAccountName?sub?(objectClass=*)"
</Directory>
Alias /nagios "/usr/local/nagios/share"
<Directory "/usr/local/nagios/share">
Options ExecCGI
AllowOverride None
AuthName "Nagios Access"
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative Off
AuthLDAPBindDN "CN=SU-Nagiosldap,OU=Service Accounts,OU=Administration,OU=BLA-Services,DC=bla,DC=blaroot,DC=loc"
AuthLDAPBindPassword "..."
AuthLDAPURL "ldap://192.168.1.22:3268/DC=bla,DC=blaroot,DC=loc"
require ldap-group "CN=BLA-SG-NagiosAccess,OU=Admins Groups,OU=Administration,OU=BLA-Services,DC=bla,DC=blaroot,DC=loc?sAMAccountName?sub?(objectClass=*)"
</Directory>
Vielleicht hat ja einer von Euch einen Tipp für mich, vielen Dank euch im Voraus!