[BSD] ldap auth problem

Attila Bárdi battila at battila.hu
2014. Dec. 7., V, 18:38:57 CET 

Hello,

ha minden mas jol mukodik, akkor lehet, hogy az apacheban van a hiba, vagyis a modulban.
Lehet, hogy megerne ott szetnezni egy kicsit.

Udv,
—
battila

> On 07 Dec 2014, at 18:31, Péchy Gáspár <gpechy at ggg.hu> wrote:
> 
> 
> 2014.12.07. 17:36 keltezéssel, Gabor HALASZ írta:
>> On 12/7/2014 2:53 PM, Péchy Gáspár wrote:
>>> - root = user0 - átírtam a userneveket, ezt elnéztem. - NINCS köze a
>>> rendszer root-hoz :)
>>> - Password ellenőrzés - ha jól sejtem - a BIND-el történik
>> 
>> Akkor nem érdekes, ugyanaz a user
>> 
>>> ---  1. fázis (Search): van-é ilyen user; 2. fázis: Jó é a passwordje
>>> (BIND)
>>> - a harmadik php-ből az apache-csal már autentikált user program általi
>>> ellenőrzése a következő session elején
>> 
>> Ez így maga a rettenet, de gondolom ezt nem te írtad.
> 
>> 
>> A probléma az ldap kapcsolódás és az ssf viszonya:
>> 
>> [root at server.ha.la.sz]/root# ldapwhoami -H ldap://localhost
>> SASL/GSSAPI authentication started
>> SASL username: Administrator at HA.LA.SZ
>> SASL SSF: 56
>> SASL data security layer installed.
>> dn:uid=administrator,ou=users,dc=ha,dc=la,dc=sz
>> [root at server.ha.la.sz]/root# ldapwhoami -H ldaps://localhost
>> SASL/GSSAPI authentication started
>> SASL username: Administrator at HA.LA.SZ
>> SASL SSF: 56
>> SASL data security layer installed.
>> dn:uid=administrator,ou=users,dc=ha,dc=la,dc=sz
>> [root at server.ha.la.sz]/root# ldapwhoami -H ldapi://%2ftmp%2fldap.sock
>> SASL/GSSAPI authentication started
>> SASL username: Administrator at HA.LA.SZ
>> SASL SSF: 56
>> SASL data security layer installed.
>> dn:uid=administrator,ou=users,dc=ha,dc=la,dc=sz
>> 
>> [root at server.ha.la.sz]/root# grep sasl_ssf=56 /var/log/all.log
>> Dec  7 17:21:14 server slapd[945]: conn=24712 op=3 BIND dn="uid=administrator,ou=users,dc=ha,dc=la,dc=sz" mech=GSSAPI sasl_ssf=56 ssf=56
>> Dec  7 17:21:17 server slapd[945]: conn=24713 op=3 BIND dn="uid=administrator,ou=users,dc=ha,dc=la,dc=sz" mech=GSSAPI sasl_ssf=56 ssf=256
>> Dec  7 17:21:23 server slapd[945]: conn=24714 op=3 BIND dn="uid=administrator,ou=users,dc=ha,dc=la,dc=sz" mech=GSSAPI sasl_ssf=56 ssf=71
>> 
>> Az ldap egyes operációkhoz megfelelő ssf-et követel meg, az 56 általában semmire sem elég, a 71 sokkal több mindenre. Két dolgot próbálj meg:
>> 
>> 1. egységesíteni a kapcsolódást, és lehetőleg ldapi-t használj (lásd fent), vagy tls-t:
>> 
>> [root at server.ha.la.sz]/root# ldapwhoami -H ldap://localhost -ZZ
>> SASL/GSSAPI authentication started
>> SASL username: Administrator at HA.LA.SZ
>> SASL SSF: 56
>> SASL data security layer installed.
>> dn:uid=administrator,ou=users,dc=ha,dc=la,dc=sz
>> 
>> Dec  7 17:25:09 server slapd[945]: conn=24721 op=4 BIND dn="uid=administrator,ou=users,dc=ha,dc=la,dc=sz" mech=GSSAPI sasl_ssf=56 ssf=256
>> 
>> 2. Magyarázd el a slapd-nek, hogy nem annyi az ssf, mint ahogyan ő gondolja, valahogy így:
>> 
>> security
>>         ssf=1
>>         simple_bind=64
>> 
>> vagy:
>> 
>> localSSF                        128
>> 
>>> - cn és uid azonos tartalmú, eredetileg uid volt az apache auth-nál is,
>>> kínomban próbálkoztam a cn-nel.
>> 
>> Ez a kettő nem igazán ugyanaz a mező.
>> 
> 
> Köszönöm, utánanézek.
> Mint laikus továbbra sem értem, miért csak az apache autentikációnál problémás:
> - a postfix, amavis ugyanezzel az ldappal dolgozik (localhost), teljesen rendben.
> - a terminálról is sikeres a lekérdezés (ldapsearch).
> 
> 
> 
> --
> Magyar BSD Levelezőlista

--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://datacast.hu/pipermail/bsd/attachments/20141207/561341f4/attachment.html>

További információk a(z) BSD levelezőlistáról