Apache Friends Support Forum

[Lemmy82]

Hallo Leute,

vielleicht kann mir jemand mit meinem Apache Problem weiterhelfen. Ich möchte ein Verzeichnis mittels .htaccess Datei absichern, die per LDAP die Berechtigung prüft. Ich habe das ganze bereits ohne Problem unter Linux eingerichtet, jetzt muss ich das gleiche Kunststück auf einem Windows Apache durchführen. Klappt aber nicht

Wenn ich versuche die Anmeldung durchzuführen, startet Apache einen Child Process der sofort abschmiert:

error.log:

Code: Select all

[Wed Oct 18 09:44:04 2006] [notice] Parent: Created child process 4064
[Wed Oct 18 09:44:04 2006] [notice] LDAP: Built with Microsoft LDAP SDK
[Wed Oct 18 09:44:04 2006] [notice] LDAP: SSL support available
[Wed Oct 18 09:44:04 2006] [notice] LDAP: Built with Microsoft LDAP SDK
[Wed Oct 18 09:44:04 2006] [notice] LDAP: SSL support available
[Wed Oct 18 09:44:04 2006] [notice] Child 4064: Child process is running
[Wed Oct 18 09:44:04 2006] [notice] Child 4064: Acquired the start mutex.
[Wed Oct 18 09:44:04 2006] [notice] Child 4064: Starting 500 worker threads.
[Wed Oct 18 09:44:14 2006] [notice] Parent: child process exited with status 3221225477 -- Restarting.

Im Event Viewer von Windows finde ich dazu auch immer Application Errors:

Code: Select all

Reporting queued error: faulting application Apache.exe, version 2.0.50.0, faulting module wldap32.dll, version 5.2.3790.1830, fault address 0x00021584

Es scheint also irgendein ein Problem bei der Zusammenarbeit zwischen Apache und der wldap32.dll zu geben. Leider habe ich dazu nicht wirklich eine Lösung gefunden. Hat jemand vielleicht eine Idee zu diesem Problem oder vielleicht Erfahrung im Umgang mit Windows Apache + LDAP?

Über Antworten, Tipps, Anregungen usw. würde ich mich riesig freuen

Gruß
Lemmy

P.S: Hier noch ein paar Facts zur Maschine:
- Apache Version 2.0.50
- In der httpd.conf per:
LoadModule ldap_module modules/util_ldap.so
LoadModule auth_ldap_module modules/mod_auth_ldap.so
die LDAP Teile integriert.
- OS: Windows 2003 mit SP1

[fluessi]

Tach..

hab das gleiche Prob auch gehabt.. leider hab ich keine Lösung.

versuchs doch mal, in der httpd.conf unter "Loglevel" debug einfügen.

dann siehst du was ungefähr falsch ist.

oder versuch es doch mal mit einer lokalen passwd datei. ob das ganze so funktioniert.

was ich dir auch noch sagen kann, hast du ne Firewall, wenn ja, dann solltest du die Ports öffnen, und es nochmal versuche

Gruss

in meinem thread hat mit leider auch noch niemand geschrieben.

Thread: http://community.apachefriends.org/f/viewtopic.php?t=21867

[Lemmy82]

Hi,

mittlerweile habe ich das ganze zum Laufen bekommen. Musste dafür allerdings den alten Apache durch eine aktuelle Version ersetzen. Über die Apache Seite habe ich damals einen Bug gefunden, der wohl in Kombination mit dem Windows LDAP Treiber besteht.

Also mein Tipp:
Wenn möglich die aktuelle Apache Version verwenden.

Bye
Lemmy

[fluessi]

Danke dir lemmy.

habe es jetzt ganz einfach gemacht..

hab auf meinem client pc den apache2.2 installiert und die module geladen. Es geht trotzdem nicht

error.log
----------------------------------------------------
[Fri Dec 15 13:58:45 2006] [info] APR LDAP: Built with Microsoft Corporation. LDAP SDK
[Fri Dec 15 13:58:45 2006] [info] LDAP: SSL support unavailable: LDAP: CA certificates cannot be set using this method, as they are stored in the registry instead.
[Fri Dec 15 13:58:45 2006] [notice] Apache/2.2.3 (Win32) configured -- resuming normal operations
[Fri Dec 15 13:58:45 2006] [notice] Server built: Jul 27 2006 16:49:49
[Fri Dec 15 13:58:45 2006] [notice] Parent: Created child process 3468
[Fri Dec 15 13:58:45 2006] [debug] mpm_winnt.c(481): Parent: Sent the scoreboard to the child
[Fri Dec 15 13:58:45 2006] [info] APR LDAP: Built with Microsoft Corporation. LDAP SDK
[Fri Dec 15 13:58:45 2006] [info] LDAP: SSL support unavailable: LDAP: CA certificates cannot be set using this method, as they are stored in the registry instead.
[Fri Dec 15 13:58:45 2006] [notice] Child 3468: Child process is running
[Fri Dec 15 13:58:45 2006] [debug] mpm_winnt.c(402): Child 3468: Retrieved our scoreboard from the parent.
[Fri Dec 15 13:58:45 2006] [info] Parent: Duplicating socket 188 and sending it to child process 3468
[Fri Dec 15 13:58:45 2006] [debug] mpm_winnt.c(599): Parent: Sent 1 listeners to child 3468
[Fri Dec 15 13:58:45 2006] [debug] mpm_winnt.c(558): Child 3468: retrieved 1 listeners from parent
[Fri Dec 15 13:58:45 2006] [notice] Child 3468: Acquired the start mutex.
[Fri Dec 15 13:58:45 2006] [notice] Child 3468: Starting 250 worker threads.
[Fri Dec 15 13:58:45 2006] [notice] Child 3468: Starting thread to listen on port 80.
[Fri Dec 15 13:58:52 2006] [debug] mod_authnz_ldap.c(849): [3468] auth_ldap url parse: `ldap://192.168.1.210/dc=kaiser-technology,dc=com?uid?sub?(objectClass=posixAccount)'
[Fri Dec 15 13:58:52 2006] [debug] mod_authnz_ldap.c(858): [3468] auth_ldap url parse: Host: 192.168.1.210
[Fri Dec 15 13:58:52 2006] [debug] mod_authnz_ldap.c(860): [3468] auth_ldap url parse: Port: 389
[Fri Dec 15 13:58:52 2006] [debug] mod_authnz_ldap.c(862): [3468] auth_ldap url parse: DN: dc=kaiser-technology,dc=com
[Fri Dec 15 13:58:52 2006] [debug] mod_authnz_ldap.c(864): [3468] auth_ldap url parse: attrib: uid
[Fri Dec 15 13:58:52 2006] [debug] mod_authnz_ldap.c(866): [3468] auth_ldap url parse: scope: subtree
[Fri Dec 15 13:58:52 2006] [debug] mod_authnz_ldap.c(871): [3468] auth_ldap url parse: filter: (objectClass=posixAccount)
[Fri Dec 15 13:58:52 2006] [debug] mod_authnz_ldap.c(951): LDAP: auth_ldap not using SSL connections
[Fri Dec 15 13:58:55 2006] [debug] mod_authnz_ldap.c(849): [3468] auth_ldap url parse: `ldap://192.168.1.210/dc=kaiser-technology,dc=com?uid?sub?(objectClass=posixAccount)'
[Fri Dec 15 13:58:55 2006] [debug] mod_authnz_ldap.c(858): [3468] auth_ldap url parse: Host: 192.168.1.210
[Fri Dec 15 13:58:55 2006] [debug] mod_authnz_ldap.c(860): [3468] auth_ldap url parse: Port: 389
[Fri Dec 15 13:58:55 2006] [debug] mod_authnz_ldap.c(862): [3468] auth_ldap url parse: DN: dc=kaiser-technology,dc=com
[Fri Dec 15 13:58:55 2006] [debug] mod_authnz_ldap.c(864): [3468] auth_ldap url parse: attrib: uid
[Fri Dec 15 13:58:55 2006] [debug] mod_authnz_ldap.c(866): [3468] auth_ldap url parse: scope: subtree
[Fri Dec 15 13:58:55 2006] [debug] mod_authnz_ldap.c(871): [3468] auth_ldap url parse: filter: (objectClass=posixAccount)
[Fri Dec 15 13:58:55 2006] [debug] mod_authnz_ldap.c(951): LDAP: auth_ldap not using SSL connections
[Fri Dec 15 13:58:55 2006] [debug] mod_authnz_ldap.c(373): [client 127.0.0.1] [3468] auth_ldap authenticate: using URL ldap://192.168.1.210/dc=kaiser-technolo ... sixAccount)
[Fri Dec 15 13:58:55 2006] [warn] [client 127.0.0.1] [3468] auth_ldap authenticate: user mfluecki authentication failed; URI / [LDAP: ldap_simple_bind_s() failed][Ausf\xfchrung verweigert]
--------------------

vielleicht kannst du damit was anfangen?

könnte es damit abhängen, dass die Benutzer auf dem LDAP keine berechtigung haben?

wie hast du die verbindung zum ldap gemacht?

kannst du mir dein "script" zeigen

ich hab es so gemacht:
.htacces
----------------------------
AuthType Basic
AuthName "Test Ldap"
AuthBasicProvider ldap
AuthLDAPUrl "ldap://192.168.1.210/dc=kaiser-technology,dc=com?uid?sub?(objectClass=posixAccount)"
require valid-user
------------------------------------------

Also ganz einfach

Danke

Gruss fluessi

[Lemmy82]

Moin,

also die erste Frage ist natürlich gegen was für einen LDAP Verzeichnisdienst Du connecten willst. Bei einigen LDAP Verzeichnissen kann man sich anonym anmelden.Ich verwende hier einen ADS der auf einem Windows Domänen Controller läuft. Der ADS lässt keinen anonymen LDAP Bind zu. Das ganze sieht dann so aus:

Code: Select all

#Apache Basic Authentication
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative Off
AuthLDAPBindDN "CN=LDAP Admin,OU=DCN,DC=BRM,DC=sce-dcn,DC=NET"
AuthLDAPBindPassword "geheim"
AuthLDAPUrl ldap://ldapserver.brm.sce-dcn.net/OU=DCN,DC=brm,DC=sce-dcn,DC=net?sAMAccoountName?sub?(objectClass=*) NONE
AuthName "SUPER GEHEIM"
Require ldap-group CN=PAZ-Group,OU=Users,OU=DCN,DC=brm,DC=sce-dcn,DC=net


Mit dieser Abfrage stelle ich sicher dass der User der sich versucht anzumelden in der Gruppe "PAZ-Group" Mitglied ist.

Bye
Lemmy