[BSD] ldap auth problem
Péchy Gáspár
gpechy at ggg.hu
2014. Dec. 7., V, 18:31:22 CET
2014.12.07. 17:36 keltezéssel, Gabor HALASZ írta:
> On 12/7/2014 2:53 PM, Péchy Gáspár wrote:
>> - root = user0 - átírtam a userneveket, ezt elnéztem. - NINCS köze a
>> rendszer root-hoz :)
>> - Password ellenőrzés - ha jól sejtem - a BIND-el történik
>
> Akkor nem érdekes, ugyanaz a user
>
>> --- 1. fázis (Search): van-é ilyen user; 2. fázis: Jó é a passwordje
>> (BIND)
>> - a harmadik php-ből az apache-csal már autentikált user program általi
>> ellenőrzése a következő session elején
>
> Ez így maga a rettenet, de gondolom ezt nem te írtad.
>
> A probléma az ldap kapcsolódás és az ssf viszonya:
>
> [root at server.ha.la.sz]/root# ldapwhoami -H ldap://localhost
> SASL/GSSAPI authentication started
> SASL username: Administrator at HA.LA.SZ
> SASL SSF: 56
> SASL data security layer installed.
> dn:uid=administrator,ou=users,dc=ha,dc=la,dc=sz
> [root at server.ha.la.sz]/root# ldapwhoami -H ldaps://localhost
> SASL/GSSAPI authentication started
> SASL username: Administrator at HA.LA.SZ
> SASL SSF: 56
> SASL data security layer installed.
> dn:uid=administrator,ou=users,dc=ha,dc=la,dc=sz
> [root at server.ha.la.sz]/root# ldapwhoami -H ldapi://%2ftmp%2fldap.sock
> SASL/GSSAPI authentication started
> SASL username: Administrator at HA.LA.SZ
> SASL SSF: 56
> SASL data security layer installed.
> dn:uid=administrator,ou=users,dc=ha,dc=la,dc=sz
>
> [root at server.ha.la.sz]/root# grep sasl_ssf=56 /var/log/all.log
> Dec 7 17:21:14 server slapd[945]: conn=24712 op=3 BIND dn="uid=administrator,ou=users,dc=ha,dc=la,dc=sz" mech=GSSAPI sasl_ssf=56 ssf=56
> Dec 7 17:21:17 server slapd[945]: conn=24713 op=3 BIND dn="uid=administrator,ou=users,dc=ha,dc=la,dc=sz" mech=GSSAPI sasl_ssf=56 ssf=256
> Dec 7 17:21:23 server slapd[945]: conn=24714 op=3 BIND dn="uid=administrator,ou=users,dc=ha,dc=la,dc=sz" mech=GSSAPI sasl_ssf=56 ssf=71
>
> Az ldap egyes operációkhoz megfelelő ssf-et követel meg, az 56 általában semmire sem elég, a 71 sokkal több mindenre. Két dolgot próbálj meg:
>
> 1. egységesíteni a kapcsolódást, és lehetőleg ldapi-t használj (lásd fent), vagy tls-t:
>
> [root at server.ha.la.sz]/root# ldapwhoami -H ldap://localhost -ZZ
> SASL/GSSAPI authentication started
> SASL username: Administrator at HA.LA.SZ
> SASL SSF: 56
> SASL data security layer installed.
> dn:uid=administrator,ou=users,dc=ha,dc=la,dc=sz
>
> Dec 7 17:25:09 server slapd[945]: conn=24721 op=4 BIND dn="uid=administrator,ou=users,dc=ha,dc=la,dc=sz" mech=GSSAPI sasl_ssf=56 ssf=256
>
> 2. Magyarázd el a slapd-nek, hogy nem annyi az ssf, mint ahogyan ő gondolja, valahogy így:
>
> security
> ssf=1
> simple_bind=64
>
> vagy:
>
> localSSF 128
>
>> - cn és uid azonos tartalmú, eredetileg uid volt az apache auth-nál is,
>> kínomban próbálkoztam a cn-nel.
>
> Ez a kettő nem igazán ugyanaz a mező.
>
Köszönöm, utánanézek.
Mint laikus továbbra sem értem, miért csak az apache autentikációnál problémás:
- a postfix, amavis ugyanezzel az ldappal dolgozik (localhost), teljesen rendben.
- a terminálról is sikeres a lekérdezés (ldapsearch).
További információk a(z) BSD levelezőlistáról