Icinga mit AD verheiraten

S

Serow

0
Hi,

ich möchte die Authentifizierung von Icinga (htaccess) mit Active Directory verheiraten und hab noch ein paar Schwierigkeiten:


Code: 
        <Directory "/usr/local/icinga/share/">
                Options None
                AllowOverride All
                Order allow,deny
                Allow from all
                AuthName "Icinga Access"
                AuthType Basic
                AuthUserFile /usr/local/icinga/etc/htpasswd.users
                AuthzLDAPAuthoritative Off
                AuthLDAPBindDN "CN=<USER>,OU=<OU>,DC=<DOMAIN>,DC=de"
                AuthLDAPBindPassword "<PW>"
                AuthLDAPURL "ldap://10.10.3.10/ou=<OU>,dc=<DOMAIN>,dc=de?sAMAccountName?sub?(objectClass=*)"
                AuthBasicProvider file ldap
                Require group cn=Icinga Users, o=<ORG>
        </Directory>

Das hier habe ich mir zusammengegooglet. Da ich leider nicht viel von LDAP verstehe, schnall ich auch nicht was dieses *Bind*-Geschichten sollen also AuthLDAPBindDN und AuthLDAPBindPassword. Scheinbar muss ich da einen User angeben, aber was ist mit diesem User? Braucht der besondere Berechtigungen im AD?

Grüße
serow
 
Serow hat gesagt.:
Das hier habe ich mir zusammengegooglet. Da ich leider nicht viel von LDAP verstehe, schnall ich auch nicht was dieses *Bind*-Geschichten sollen also AuthLDAPBindDN und AuthLDAPBindPassword. Scheinbar muss ich da einen User angeben, aber was ist mit diesem User? Braucht der besondere Berechtigungen im AD?
Zum Vergrößern anklicken....

Wenn anonyme Anmeldung am LDAP/AD nicht erlaubt ist, brauchst du einen BindDN (User und Paswort). Laut Apache 2 - Direktiven - AuthLDAPBindDN - Sascha Kersken geht es nicht ohne Bindung mit Benutzernamen, wenn Microsoft Active Directory als LDAP-Server angesprochen wird.

htaccess mit AD - linuxforen.de -- User helfen Usern
Security - Active Directory Security Groups for Apache Authorization

HTH

Micha
 
Hi,

okay, macht Sinn, dass nicht jeder Gast das LDAP abfragen darf. Hab auch deine Links gelesen und habs auch letztendlich geschaft. Am meisten Zeit hat es mich gekostet die AuthLDAPURL Direktive richtig hinzubekommen, war aber mehr mein Fehler: hatte ein Leerzeichen wo keines sein darf. So funktionierts jetzt jedenfalls:

Code: 
AuthName "Icinga Access"
AuthType Basic
AuthzLDAPAuthoritative Off
AuthBasicProvider ldap
AuthLDAPBindDN ldapbind@<DOMAIN.TLD>
AuthLDAPBindPassword "<PASSWORD>"
AuthLDAPGroupAttributeIsDN on
AuthLDAPURL "ldap://10.10.3.10:389/ou=<OU>,dc=<DOMAIN>,dc=<TLD>?sAMAccountName?sub?"
Require ldap-group CN=Icinga Users,OU=<OU>,DC=<DOMAIN>,DC=<TLD>

Grüsse
serow
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben