Hey,
ich versuche seit einer Weile eine authentifizierung des Users auf meiner Windows Domain durchzuführen. Nachforschungen haben ergeben, daß es ein modul (mod_auth_sspi) gibt das dieses machen soll. Allerdings bekomme ich es nich ganz zum laufen:
Ich betreibe einen Apche 2.0.49 auf einem Win 2k-Server. Wenn ich einen bestimmten bereich mittel <location >AuthType SSPI ect....</location> schütze, dann bekomme ich ein Fenster, wo ich meinen Benutzernamen, Passwort und Domain angeben kann. Allerdings bekomme ich trotz korrekter eingaben den Fehler, daß der Server mich nich auth. kann.
Im error.log vom apache steht drinnen, daß er den Context nicht erstellen kann.
Hat jemand eine Idee? Leider konnte ich die hauptseite von mod_auth_sspi auch nich finden.....
Hilfe
Peter
mod_auth_sspi
16 posts
• Page 1 of 2 • 1, 2
by PeterB » 16. February 2005 08:40
in der Httpd.conf:
LoadModule sspi_auth_module modules/mod_auth_sspi.so
<Location "/">
AuthName "Intranet Auth"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
SSPIDomain MYDOMAIN
SSPIOfferBasic off #let non-IE clients authenticate
Require valid-user
</Location>
ansonsten habe ich keine Konfiguration vorgenommen, da ich keine weitere optionen gefunden habe so wirklich.
LoadModule sspi_auth_module modules/mod_auth_sspi.so
<Location "/">
AuthName "Intranet Auth"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
SSPIDomain MYDOMAIN
SSPIOfferBasic off #let non-IE clients authenticate
Require valid-user
</Location>
ansonsten habe ich keine Konfiguration vorgenommen, da ich keine weitere optionen gefunden habe so wirklich.
- PeterB
- Posts: 11
- Joined: 15. February 2005 22:21
by PeterB » 16. February 2005 11:46
mein Apache läuft als Service (user=SYSTEM)
MYDOMAIN gibt es im netz Aber dazu auch eine Frage: muß der Domain Controler direct mit der IP-Adresse angesprochen werden oder muß der Name der Domain eingetragen werden....warum ich frage ist folgender. Wenn ich versuche mich zu auth. und es fehlschlägt, dann wird ein Eintrag in die Windows event logs geschrieben (security)..Failure Audit. Mit der Event ID= 537. Laut microsoft ein unidentifizeirter Fehler. Dann steht bei Privileges noch: SeIncreaseBasePriorityPrivilege
Ich werde unseren admin nochmal fragen ob es auhc wirklich eine NT4 domain ist. sonst nohc eine Idee?
MYDOMAIN gibt es im netz Aber dazu auch eine Frage: muß der Domain Controler direct mit der IP-Adresse angesprochen werden oder muß der Name der Domain eingetragen werden....warum ich frage ist folgender. Wenn ich versuche mich zu auth. und es fehlschlägt, dann wird ein Eintrag in die Windows event logs geschrieben (security)..Failure Audit. Mit der Event ID= 537. Laut microsoft ein unidentifizeirter Fehler. Dann steht bei Privileges noch: SeIncreaseBasePriorityPrivilege
Ich werde unseren admin nochmal fragen ob es auhc wirklich eine NT4 domain ist. sonst nohc eine Idee?
- PeterB
- Posts: 11
- Joined: 15. February 2005 22:21
by Wiedmann » 16. February 2005 12:23
muß der Domain Controler direct mit der IP-Adresse angesprochen werden oder muß der Name der Domain eingetragen werden
Der Name der Domain.
Du kannst allerdings auch mal die Directive "SSPIDomain" ganz weg lasen. Dann nimmt er erst die Benutzer vom lokalen Computer, und dann die Domain zu der der Computer gehört. Gerade mit einem lokalen Benutzer kannst du ja zumindest dann mal grundlegend die Funktion testen.
mein Apache läuft als Service (user=SYSTEM)
Lass den Service mal unter einem gültigen lokalen/Domain-Konto laufen zum Test.
Im error.log vom apache steht drinnen, daß er den Context nicht erstellen kann.
Wie sieht dann diese Meldung genau aus?
- Wiedmann
- AF Moderator
- Posts: 17102
- Joined: 01. February 2004 12:38
- Location: Stuttgart / Germany
by PeterB » 16. February 2005 12:35
der fehler sieht so aus:
[Wed Feb 16 11:34:59 2005] [error] [client 127.0.0.1] (OS 87)The parameter is incorrect. : authentication failure for "/error/HTTP_UNAUTHORIZED.html.var": user unknown, reason: cannot generate context
was den OS-Code angeht habe ich nicht rausgefunden, was der bedeutet.
diese Meldung wird jedesmal generriert, wenn die auth. fehlschlägt.
das hab ich auch schon probiert. Leider mit dem gleichen Ergebniss.
Gerde probiert gleiches Ergebniss
[Wed Feb 16 11:34:59 2005] [error] [client 127.0.0.1] (OS 87)The parameter is incorrect. : authentication failure for "/error/HTTP_UNAUTHORIZED.html.var": user unknown, reason: cannot generate context
was den OS-Code angeht habe ich nicht rausgefunden, was der bedeutet.
diese Meldung wird jedesmal generriert, wenn die auth. fehlschlägt.
Lass den Service mal unter einem gültigen lokalen/Domain-Konto laufen zum Test.
das hab ich auch schon probiert. Leider mit dem gleichen Ergebniss.
Du kannst allerdings auch mal die Directive "SSPIDomain" ganz weg lasen.
Gerde probiert gleiches Ergebniss
- PeterB
- Posts: 11
- Joined: 15. February 2005 22:21
by Wiedmann » 16. February 2005 14:05
Als bei mit tut das, mit einem lokalen Benutzer. Die selben Parameter wie bei dir, hab nur "SSPIDomain" weggelassen (--> hab hier keine Domain, sondern nur eine Workgroup), das ganze in einer ".htaccess".
Testet du den Zugriff lokal oder von einem anderen PC aus. evtl noch folgendes mit reinmachen:
Order allow,deny
Allow from all
Testet du den Zugriff lokal oder von einem anderen PC aus. evtl noch folgendes mit reinmachen:
Order allow,deny
Allow from all
- Wiedmann
- AF Moderator
- Posts: 17102
- Joined: 01. February 2004 12:38
- Location: Stuttgart / Germany
by Wiedmann » 16. February 2005 14:46
Wie gesagt. Ist im Pronzip orginal deine. Das gaze hab ich zum Testen einfach mal in den "\xampp\htdocs" in eine ".htaccess" reingetan (auch wenn es in der httpd.conf genauso gehen sollte):
- Code: Select all
AuthName "Intranet Auth"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
#SSPIDomain MYDOMAIN
SSPIOfferBasic off #let non-IE clients authenticate
Require valid-user
Order allow,deny
Allow from all
- Wiedmann
- AF Moderator
- Posts: 17102
- Joined: 01. February 2004 12:38
- Location: Stuttgart / Germany
by PeterB » 16. February 2005 15:08
da steht das drinnen:
- Code: Select all
49:35 2005] [error] [client 127.0.0.1] client denied by server configuration: C:/DB4OEE/My_Intranet
- PeterB
- Posts: 11
- Joined: 15. February 2005 22:21
by PeterB » 16. February 2005 17:38
ich habs jetzt soweit getrckt, daß das Modul ein Problem hat den sspi context zu erstellen bzw. bekommt er vom DS ein INVALID_TOKEN zurück. Könnten wir mal einen Versionsvergleich machen?
Apache 2.0.49 mit mod_auth_sspi 1.0.1 (so wie es mit xampp mitgeliefert wurde)
Apache 2.0.49 mit mod_auth_sspi 1.0.1 (so wie es mit xampp mitgeliefert wurde)
- PeterB
- Posts: 11
- Joined: 15. February 2005 22:21
by Wiedmann » 16. February 2005 18:35
bekommt er vom DS ein INVALID_TOKEN zurück.
Ohne die Directive "SSPIDomain" sollte ja der DC egal sein, weil da ein lokaler Benutzer genommen wird *denk*. Gibts denn lokale Benutzer zum testen? Ansonsten könnts natürlich auch an der Secuity-Policity liegen. (verschlüsselte Kommunikation, NTLM oder NTLM2 usw.). Das Modul ist da eher simpel gestrickt.
Könnten wir mal einen Versionsvergleich machen?
Apache ist grad 2.0.53 (das ging aber schon mit älteren Versionen). mod_auth_sspi ist auch in der Version 1.0.1.
- Wiedmann
- AF Moderator
- Posts: 17102
- Joined: 01. February 2004 12:38
- Location: Stuttgart / Germany
16 posts
• Page 1 of 2 • 1, 2
Who is online
Users browsing this forum: No registered users and 31 guests