[BSD] ldap auth problem
Péchy Gáspár
gpechy at ggg.hu
2014. Dec. 7., V, 19:31:08 CET
2014.12.07. 19:15 keltezéssel, Gabor HALASZ írta:
> On 12/7/2014 6:31 PM, Péchy Gáspár wrote:
>>
>> Köszönöm, utánanézek.
>> Mint laikus továbbra sem értem, miért csak az apache autentikációnál
>> problémás:
>> - a postfix, amavis ugyanezzel az ldappal dolgozik (localhost), teljesen
>> rendben.
>> - a terminálról is sikeres a lekérdezés (ldapsearch).
>
> A konkrét rendszer ismerete nélkül:
>
> -Mint írtam, a fenti ldap authentikáció elvi hibás, annak ellenére, hogy sokan így követik el; a lighttpd például a tiedhez hasonló simple authnál ennyit csinál:
>
> Dec 7 19:08:32 server slapd[1214]: conn=4398 op=0 BIND dn="uid=HalaszGabor,ou=Users,dc=ha,dc=la,dc=sz" mech=SIMPLE ssf=0
> Dec 7 19:08:32 server slapd[1214]: conn=4398 op=0 RESULT tag=97 err=0 text=
> Dec 7 19:08:32 server slapd[1214]: conn=4398 op=1 UNBIND
> Dec 7 19:08:32 server slapd[1214]: conn=4398 fd=102 closed
>
> Valószínüleg a postfix is hasonlóan teszi: nem keresgél feleslegesen, egyszerűen bind-ol a user/pass párossal, és ha sikerül, akkor örül.
>
> -Minden, ami libopenldap-hoz linkeltek az ldap.conf-ból gyűjti az információkat, és az ldap.conf-odban ldapi van, kivéve, ha felülírod, mint az apache-nál
>
> -Adj 128-at a slapd debuglevelhez, és nézegesd a logot szorgalmasan, hogy hol van policy violation
>
Ok, megnézem, ippeg elkövettem a loglevel -1 et, háát :) .. megnézem 128-cal
A postfix nálam hasonlóan működik, mint - elvben - az apache: BIND az általános kereső dn-nel, majd SRCH user majd BIND a pw ellenőrzéshez.
A courier (POP) úgy megy ahogy írtad, sima BIND a userrel.
További információk a(z) BSD levelezőlistáról