Hallo Chris,
die .htaccess sollte z. B. so aussehen:
AuthName "Anmeldung"
AuthBasicProvider ldap
AuthType Basic
AuthLDAPURL ldaps://MeineURL/dc=linuxmuster,dc=local?uid
AuthLDAPGroupAttributeIsDN off
AuthLDAPGroupAttribute memberUid
require ldap-group cn=teachers,ou=groups,dc=linuxmuster,dc=local
Und natürlich muss in der Apache-Konfiguration das Überschreiben von AuthConfig per .htaccess-Datei zugelassen sein.
Viele Grüße
Jörg
Hallo Jörg,
Überschrieben von AuthConfig via .htaccess habe ich aktiviert.
Ja meine .htaccess habe ich nun auch mal nach Deinem Vorschlag umgestellt, mit mehrfach angepasster URL (mal ohne mal mit Portnr), aber leider ohne Erfolg. Mal mit Bind DN mal als anonymous, mal Group Dirrectiven auskommentiert …
Bislang ohne Erfolg.
VG
Chris
Hallo Chris,
nun war ich neugierig und habe es mit einem externen Apache 2.4 und unserem Schulserver probiert. Das klappt mit der oben geposteten .htaccess und einem Lehrer-Account.
Wenn man einen einzelnen User zulassen möchte, dann lautet die Syntax übrigens einfach nur:
require ldap-user username
Vielleicht liegt es daran?
Beste Grüße
Jörg
Hallo Jörg,
danke für Deinen Test.
Ich habe nun nochmal folgende .htaccess getestet:
AuthName "Anmeldung"
AuthBasicProvider ldap
AuthType Basic
AuthLDAPURL "ldaps://meineURL:636/dc=linuxmuster,dc=local?uid"
AuthLDAPGroupAttributeIsDN off
AuthLDAPGroupAttribute memberUid
Require valid-user
Das Ganze wird wieder mit Internal Server error quittiert.
In den Debug-Logs des Apache sehe ich nur den Hinweis:
[LDAP: ldap_simple_bind() failed][Can’t contact LDAP server]
Mit tcpdump sehe ich, dass auf dem linuxmuster.net Server die Anfrage ankommt und eine TCP-Verbindung hergestellt wird.
Da muss noch ein anderer Fehler sein. ldapsearch - Anfragen funktionieren ja mit meiner URL und den sonstigen Angaben.
VG
Chris
Ich hatte mal Probleme mit Roundup (Trouble Ticket System) an LDAPS, da musste ich die Zertifikatsueberpruefung abschalten, dann hat das erst getan, da “self signed” - vielleicht hat es damit was zu tun?
Hallo,
ok, es liegt tatsächlich am Zertifikat wie ich in Tests zusammen mit Jörg @jrichter herausgefunden habe. Ich nutze intern nur ein self-signed Zertifikat.
Das bedeutet, ich musst dem externen Apache beibringen, dass er das Zertifikat nicht vollständig prüft.
Ich habe nun unter
/etc/apache2/conf-enabled/security.conf
Folgende Direktive ganz am Ender der Datei eingetragen:
LDAPVerifyServerCert Off
Danach den Apache neu starten und mit der .haccess erneut getestet. Nun klappt es.
Danke @jrichter
VG
Chris
Hallo, Chris,
ich hab mir mal meine eigene Apache-LDAPs - Abfrage angesehen:
Bei mir ist noch das dabei:
…
AuthzLDAPAuthoritative on
…
Ich hab den Eintrag in der security NICHT (!)
L.G.
Christoph Gü
Hallo Christoph,
dieser Eintrag gilt wohl nur für Apache 2.2 bei 2.4 darf ein solcher Eintrag wohl nicht mehr verwendet werden.
VG
Chris
Hallo Chris,
und mal wieder wusste es das Wiki schon längst:
LG Jörg
ich hab dasselbe vor und bekomme nach login in einen 500er Error
Kennst du das?
kommt die .htaccess in den ordner test oder eine ebene höher ?
ja hab ich er sagt mir Internal Server Error
Die muss da mit hinein. Aber es ist auf jeden Fall ratsamer, das ganze mit funktionierender Verschlüsselung zu machen – so wie hier erläutert:
ist drin siehe https://prnt.sc/rm5d8q
.httacces siehe https://prnt.sc/rm5cdv
https://prnt.sc/rm5ej
erster fehler behoben ip war falsch allerdings erhält man immernoch nach login per popup einen InternalServer Error
htacces nochmal angepasst siehe https://prnt.sc/rm5u87
Ist bei dir hinter der 192.168.0.20 überhaupt ein linuxmuster-Sever oder was eigenes?
Hallo Jannik2019,
gemäß Deines Screenshots gehe ich mal davon aus, dass Du nur intern, aus dem lokalen Netzwerk auf den Server zugreifst.
Was sagt denn
telnet 192.168.0.20 3268
Wenn Du eine Escape-Sequenz siehst, dann weist Du zumindest, dass Dein Ldap Server antwortet und Anfragen auf dem Port annehmen würde.
Nutzt Du ldap oder ldaps ? In Deinem Kommentar in der Config-Datei ist von over SSL die Rede - ich würde davon ausgehen, dass Du auch mit ldaps Arbeiten must.
Dann scheinst Du ja sambaccounts abzufragen. Ich würde mal schrittweise den Zugriff testen und dabei das Debuglevel erhöhen, um Hinweise zu erhalten.
Deine Anfrage hat sich zu den Ausgangsbedingungen in diesem Thread ja schon verändert.
VG
Chris
telnet läuft siehe https://prnt.sc/rmjr34
ich nutze ldap das over ssl ist rauskopiert und nur ein Kommentar!
hat mit der 500error denke ich wenig zu tuhn
züsatzlich hab ich jetzt herausgefunden das keine prüfung der eingegebenen daten im popup stattfindet ich kann z.b. einfach hase und xyz eingeben und bekomme den selber internal server error wie mit richtigen AD Zugangsdaten
nein etwas eigenes
Hallo, also Dein ldap antwortet auf dem Port schon einmal korrekt. Ich würde jetzt mal mit Deinen Authentifizierungscredentials einzeln auf der Konsole dies ausprobieren, um zu sehen, ob der Bind korrekt läuft und eine Antwort vom Server kommt. Alles einzeln, danach erst in der .htaccess Datei, sonst hast Du mehrere Fehler, bei denen es schwerer ist dieses einzugrenzen.
Kennst Du dieses Dokument ?
Das gibt es zu Samba v7 etc. einige Hinweise, denn Du willst ja eine Anbindung an das Samba AD, oder ? Bei Samba bin ich derzeit aber raus 
VG
Chris
ja ich schaue mir das Dokument mal an aber infwiefern soll mich das weiterbringen ich mache nichts mit moodle es geht einfach nur um ein Webserver Verzeichnis in das man nur per ldap auth reinkommt noch ein Fehler gefunden um den directory eintrag fehlte ein Virtualhost https://prnt.sc/rmr171 jetzt wird das verzeichnis zumindest schonmal ohne error dargestellt da wäre jetzt noch das Authentifizierungsproblem mit dem Virtualhost drum herum erfolgt gar keine authentifizierungsabfrage per popup vllt hab ich mich da in der config auch verzettelt deswegen die Frage brauche ich ausser der htacces noch irgendeine einstellung