[BSD] ldap auth problem

Gabor HALASZ halasz.g at freemail.hu
2014. Dec. 7., V, 17:36:33 CET 

On 12/7/2014 2:53 PM, Péchy Gáspár wrote:
> - root = user0 - átírtam a userneveket, ezt elnéztem. - NINCS köze a
> rendszer root-hoz :)
> - Password ellenőrzés - ha jól sejtem - a BIND-el történik

Akkor nem érdekes, ugyanaz a user

> ---  1. fázis (Search): van-é ilyen user; 2. fázis: Jó é a passwordje
> (BIND)
> - a harmadik php-ből az apache-csal már autentikált user program általi
> ellenőrzése a következő session elején

Ez így maga a rettenet, de gondolom ezt nem te írtad.

A probléma az ldap kapcsolódás és az ssf viszonya:

[root at server.ha.la.sz]/root# ldapwhoami -H ldap://localhost
SASL/GSSAPI authentication started
SASL username: Administrator at HA.LA.SZ
SASL SSF: 56
SASL data security layer installed.
dn:uid=administrator,ou=users,dc=ha,dc=la,dc=sz
[root at server.ha.la.sz]/root# ldapwhoami -H ldaps://localhost
SASL/GSSAPI authentication started
SASL username: Administrator at HA.LA.SZ
SASL SSF: 56
SASL data security layer installed.
dn:uid=administrator,ou=users,dc=ha,dc=la,dc=sz
[root at server.ha.la.sz]/root# ldapwhoami -H ldapi://%2ftmp%2fldap.sock
SASL/GSSAPI authentication started
SASL username: Administrator at HA.LA.SZ
SASL SSF: 56
SASL data security layer installed.
dn:uid=administrator,ou=users,dc=ha,dc=la,dc=sz

[root at server.ha.la.sz]/root# grep sasl_ssf=56 /var/log/all.log
Dec  7 17:21:14 server slapd[945]: conn=24712 op=3 BIND 
dn="uid=administrator,ou=users,dc=ha,dc=la,dc=sz" mech=GSSAPI 
sasl_ssf=56 ssf=56
Dec  7 17:21:17 server slapd[945]: conn=24713 op=3 BIND 
dn="uid=administrator,ou=users,dc=ha,dc=la,dc=sz" mech=GSSAPI 
sasl_ssf=56 ssf=256
Dec  7 17:21:23 server slapd[945]: conn=24714 op=3 BIND 
dn="uid=administrator,ou=users,dc=ha,dc=la,dc=sz" mech=GSSAPI 
sasl_ssf=56 ssf=71

Az ldap egyes operációkhoz megfelelő ssf-et követel meg, az 56 általában 
semmire sem elég, a 71 sokkal több mindenre. Két dolgot próbálj meg:

1. egységesíteni a kapcsolódást, és lehetőleg ldapi-t használj (lásd 
fent), vagy tls-t:

[root at server.ha.la.sz]/root# ldapwhoami -H ldap://localhost -ZZ
SASL/GSSAPI authentication started
SASL username: Administrator at HA.LA.SZ
SASL SSF: 56
SASL data security layer installed.
dn:uid=administrator,ou=users,dc=ha,dc=la,dc=sz

Dec  7 17:25:09 server slapd[945]: conn=24721 op=4 BIND 
dn="uid=administrator,ou=users,dc=ha,dc=la,dc=sz" mech=GSSAPI 
sasl_ssf=56 ssf=256

2. Magyarázd el a slapd-nek, hogy nem annyi az ssf, mint ahogyan ő 
gondolja, valahogy így:

security
         ssf=1
         simple_bind=64

vagy:

localSSF                        128

> - cn és uid azonos tartalmú, eredetileg uid volt az apache auth-nál is,
> kínomban próbálkoztam a cn-nel.

Ez a kettő nem igazán ugyanaz a mező.

További információk a(z) BSD levelezőlistáról