[HaBo]

Serow · 15.01.12, 11:40

Hi,

ich möchte die Authentifizierung von Icinga (htaccess) mit Active Directory verheiraten und hab noch ein paar Schwierigkeiten:

Code:

        <Directory "/usr/local/icinga/share/">
                Options None
                AllowOverride All
                Order allow,deny
                Allow from all
                AuthName "Icinga Access"
                AuthType Basic
                AuthUserFile /usr/local/icinga/etc/htpasswd.users
                AuthzLDAPAuthoritative Off
                AuthLDAPBindDN "CN=<USER>,OU=<OU>,DC=<DOMAIN>,DC=de"
                AuthLDAPBindPassword "<PW>"
                AuthLDAPURL "ldap://10.10.3.10/ou=<OU>,dc=<DOMAIN>,dc=de?sAMAccountName?sub?(objectClass=*)"
                AuthBasicProvider file ldap
                Require group cn=Icinga Users, o=<ORG>
        </Directory>

Das hier habe ich mir zusammengegooglet. Da ich leider nicht viel von LDAP verstehe, schnall ich auch nicht was dieses *Bind*-Geschichten sollen also AuthLDAPBindDN und AuthLDAPBindPassword. Scheinbar muss ich da einen User angeben, aber was ist mit diesem User? Braucht der besondere Berechtigungen im AD?

Grüße
serow

mime · 15.01.12, 12:09

Zitat:

Zitat von Serow

Das hier habe ich mir zusammengegooglet. Da ich leider nicht viel von LDAP verstehe, schnall ich auch nicht was dieses *Bind*-Geschichten sollen also AuthLDAPBindDN und AuthLDAPBindPassword. Scheinbar muss ich da einen User angeben, aber was ist mit diesem User? Braucht der besondere Berechtigungen im AD?

Wenn anonyme Anmeldung am LDAP/AD nicht erlaubt ist, brauchst du einen BindDN (User und Paswort). Laut Apache 2 - Direktiven - AuthLDAPBindDN - Sascha Kersken geht es nicht ohne Bindung mit Benutzernamen, wenn Microsoft Active Directory als LDAP-Server angesprochen wird.

htaccess mit AD - linuxforen.de -- User helfen Usern
Security - Active Directory Security Groups for Apache Authorization

HTH

Micha

Anzeige

- Anzeige -

Serow · 15.01.12, 16:48

Hi,

okay, macht Sinn, dass nicht jeder Gast das LDAP abfragen darf. Hab auch deine Links gelesen und habs auch letztendlich geschaft. Am meisten Zeit hat es mich gekostet die AuthLDAPURL Direktive richtig hinzubekommen, war aber mehr mein Fehler: hatte ein Leerzeichen wo keines sein darf. So funktionierts jetzt jedenfalls:

Code:

AuthName "Icinga Access"
AuthType Basic
AuthzLDAPAuthoritative Off
AuthBasicProvider ldap
AuthLDAPBindDN ldapbind@<DOMAIN.TLD>
AuthLDAPBindPassword "<PASSWORD>"
AuthLDAPGroupAttributeIsDN on
AuthLDAPURL "ldap://10.10.3.10:389/ou=<OU>,dc=<DOMAIN>,dc=<TLD>?sAMAccountName?sub?"
Require ldap-group CN=Icinga Users,OU=<OU>,DC=<DOMAIN>,DC=<TLD>

Grüsse
serow

Anzeige

- Anzeige -

15.01.12, 11:40	#1 (permalink)
Serow Senior Member Registriert seit: 26.03.06 Likes: 16	Icinga mit AD verheiraten Anzeige Hi, ich möchte die Authentifizierung von Icinga (htaccess) mit Active Directory verheiraten und hab noch ein paar Schwierigkeiten: Code: <Directory "/usr/local/icinga/share/"> Options None AllowOverride All Order allow,deny Allow from all AuthName "Icinga Access" AuthType Basic AuthUserFile /usr/local/icinga/etc/htpasswd.users AuthzLDAPAuthoritative Off AuthLDAPBindDN "CN=<USER>,OU=<OU>,DC=<DOMAIN>,DC=de" AuthLDAPBindPassword "<PW>" AuthLDAPURL "ldap://10.10.3.10/ou=<OU>,dc=<DOMAIN>,dc=de?sAMAccountName?sub?(objectClass=)" AuthBasicProvider file ldap Require group cn=Icinga Users, o=<ORG> </Directory> Das hier habe ich mir zusammengegooglet. Da ich leider nicht viel von LDAP verstehe, schnall ich auch nicht was dieses Bind*-Geschichten sollen also AuthLDAPBindDN und AuthLDAPBindPassword. Scheinbar muss ich da einen User angeben, aber was ist mit diesem User? Braucht der besondere Berechtigungen im AD? Grüße serow

15.01.12, 16:48	#3 (permalink)
Serow Senior Member Themenstarter Registriert seit: 26.03.06 Likes: 16	Hi, okay, macht Sinn, dass nicht jeder Gast das LDAP abfragen darf. Hab auch deine Links gelesen und habs auch letztendlich geschaft. Am meisten Zeit hat es mich gekostet die AuthLDAPURL Direktive richtig hinzubekommen, war aber mehr mein Fehler: hatte ein Leerzeichen wo keines sein darf. So funktionierts jetzt jedenfalls: Code: AuthName "Icinga Access" AuthType Basic AuthzLDAPAuthoritative Off AuthBasicProvider ldap AuthLDAPBindDN ldapbind@<DOMAIN.TLD> AuthLDAPBindPassword "<PASSWORD>" AuthLDAPGroupAttributeIsDN on AuthLDAPURL "ldap://10.10.3.10:389/ou=<OU>,dc=<DOMAIN>,dc=<TLD>?sAMAccountName?sub?" Require ldap-group CN=Icinga Users,OU=<OU>,DC=<DOMAIN>,DC=<TLD> Grüsse serow

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[HaBo]

Icinga mit AD verheiraten