Moodle bei BelWü LDAP loginprobleme

Hallo zusammen,

seit Heute Morgen läuft bei mir die Anmeldung an moodle bei BelWü nicht mehr.

In den Einstellungen des LDAP Servers in moodle steht:

“LDAP paged results werden nicht unterstützt. Entweder unterstützt Ihre PHP Version dies nicht oder Sie haben Moodle zur Verwendung der LDAP-Protokollversion 2 konfiguriert oder Moodle kann bei Ihren LDAP-Server den paged Support nicht erkennen.”

Beim Loginversuch kommt die Meldung “unbekannter Fehler”

Hat noch jemand die Probleme?
Sie gingen Heute Morgen wohl los.

LG

Holger

Hallo,

ich hab das Problem gefunden: ich hatte auf dem Server das Passwort des bind users geändert … mein Fehler :slight_smile:
LG

Holger

Hallo Holger,

wir möchten unser moodle auf aktuelle Hardware umziehen. Dafür hat der Belwue Webmaster unser moodle geklont. Nun funktioniert vom neuen Server die LDAP Authentifizierung nicht. Zunächst kam mit ldaps ohne TLS „unbekannter Fehler“ bzw. „unknown error“, nun mit ldap ohne TLS wird „Ungültige Anmeldedaten. Versuchen Sie es noch einmal!“ angezeigt. Vom alten moodle aus (ldaps ohne TLS) tut alles einwandfrei.

Der Belwue Webmaster ist mit seinem Letein am Ende und fragt nach den LDAP Logs. Allerdings können Artur und ich sie nirgends finden. Gibt es die überhaupt?

Viele Grüße
Guido

Hallo Guido,

damit der LDAP vernüftige Logs erzeugt, muss man das Log Level in der
/etc/ldap/slapd.conf hochsetzen. Die Werte sind etwas kompliziert, aber
dokumentiert (ich weiß gerade nicht auswendig, was sinnvoll ist).

Die Symptome würden auch zu dem Folgenden passen:

Hast Du vielleicht in der Firewall den Zugriff (Port-Weiterleitung) nur
für bestimmte IPs freigegeben? Oder in der LDAP-Konfiguration (selbe
Datei wie oben)? Vielleicht kommt die Anfrage ja jetzt von einer anderen
IP und kommt deshalb nicht beim LDAP an (bzw. wird nicht akzeptiert).

Beste Grüße

Jörg

Hallo Guido,

es gibt ein paar Stellen an denen man schauen muss, dass das BelWue
moodle an den LDAP kommt.
Ich betrachte das mal von außen.

  1. ich nehme an, dass der BelWü Router für alle Anfragenden den Port 636
    weiterleitet
  2. das muß beim IPFire nicht so sein. Ich hab da einen Adressbereich
    eingetragen: ihr vielleicht nur eine IP… -> Nachschauen
  3. zuletzt ist es der LDAP selbst, der Anfragen ablehnen kann.
    Schau mal auf dem Server in die Datei /etc/ldap/slapd.conf im untersten
    Teil.
    Da steht wahrscheinlich eine Zeile mit der alten IP Adresse: kopier sie
    und mach die neue draus
    Danach
    service slapd restart und schwupps :slight_smile:

LG

Holger

Hallo Holger,

ich habe zwischenzeitlch die neue IP in die die slapd.conf eingetragen (by anonymous peername.ip=a.b.c.d. auth). Da stehen auch noch andere IPs (ich vermute altes moodle, Raumbuchung, coovachilli,…), das dürfte aber nicht stören, oder?

Über ldap klappt es nun, über ldaps jedoch nicht („unknown error“). Im ipfire sind alle über ROT eingehenden Verbindungen über Port 389 und 636 zum Server erlaubt.

Viele Grüße
Guido

Hallo Guido,

ich habe zwischenzeitlch die neue IP in die die slapd.conf eingetragen
(by anonymous peername.ip=a.b.c.d. auth). Da stehen auch noch andere IPs
(ich vermute altes moodle, Raumbuchung, coovachilli,…), das dürfte aber
nicht stören, oder?

Über ldap klappt es nun, über ldaps jedoch nicht („unknown error“). Im
ipfire sind alle über ROT eingehenden Verbindungen über Port 389 und 636
zum Server erlaubt.

dann stell fest, ob im vorgelagerten Router (von BelWü?) der Port 636
auch weiter geleitet wird.

LG

Holger

Hallo Holger,

der Port ist offen Richtung Server. Das bisherige moodle authentifiziert sich problemlos über Port 636.

Muss ich nach der Änderung in der slpad.conf noch etwas Anderes tun, als den Dienst neu zu starten?

Viele Grüße
Guido

Hallo Guido,

der Port ist offen Richtung Server. Das bisherige moodle authentifiziert
sich problemlos über Port 636.

… das gilt nicht: du sagst ja, das neue moodle ist auf einem anderen
Server: also eine andere IP.
Ist die im IP Adressraum, den du im IPFire freigegeben hast?
Oder ist da gar nur eine IP freigegeben (weitergeleitet)?

Muss ich nach der Änderung in der slpad.conf noch etwas Anderes tun, als
den Dienst neu zu starten?

nein:
/etc/init.d/sladp restart

LG

Holger

Hallo Holger,


Hallo Guido,

der Port ist offen Richtung Server. Das bisherige moodle authentifiziert
sich problemlos über Port 636.

… das gilt nicht: du sagst ja, das neue moodle ist auf einem anderen
Server: also eine andere IP.
Ist die im IP Adressraum, den du im IPFire freigegeben hast?
Oder ist da gar nur eine IP freigegeben (weitergeleitet)?

Im ipfire und dem Router ist der Port 636 offen für „alle“ (IPs ). Die einzige Einschränkung ist also meines Wissens in der slapd.conf.

LG

Guido

Hallo Guido,

Im ipfire und dem Router ist der Port 636 offen für „alle“ (IPs ).

… find ich jetzt gar keine so gute Idee …

Die
einzige Einschränkung ist also meines Wissens in der slapd.conf.

verwendest du einen bind user?
Sollte eigentlich egal sein, weil du ja annonymus in der slapd stehen
hast, aber: kannst es ja mal versuchen.

Ansonsten: ich sehe hier auch keienn Fehler mehr.
Was sagen den die logs auf dem Server?
Ansonsten würde ich vermuten, dass was an der Zeile in der slapd nicht
stimmt (ein Leerzeichen zuviel?)

LG

Holger