freebsd 10.x apache 2.4.12 和 active directory auth

freebsd 10.x apache 2.4.12 和 active directory auth

因此,我尝试让 apache 2.4 与在装有 10.x 的 freebsd 机器上运行的活动目录进行对话

apache 从端口构建...并开启 ldap.... 2.4.12

Windows 2012 R2 活动目录....我检查了默认域控制器 GPO 不需要 ldap ssl。

我已确认 ADSIEdit 中的配置中列出的组名,并检查了我正在连接的用户......

以下是配置示例:

vhosts.conf
   <VirtualHost 10.1.1.10:80>
ServerAdmin [email protected]
ServerName hg.domainname.com
ServerAlias www.hg.domainname.com
ScriptAlias /hg  /usr/local/www/mercurial/hgweb.cgi
ErrorLog "/var/log/hg-http-error.log"
CustomLog "/var/log/hg-http-access.log" common
<Location /hg>
Options Indexes ExecCGI FollowSymlinks
AddHandler cgi-script .cgi .fcgi
    AllowOverride All

  Order allow,deny
  Allow from all
#Rem'd part of initial no auth testing
    #Require all granted
  AuthType Basic
  AuthName "Please use your Windows Logon"
  AuthBasicProvider ldap
  AuthzLDAPAuthoritative off
  # Active Directory requires an authenticating DN to access records
  AuthLDAPBindDN "[activedirectoryid]@domainname.com"

  # This is the password for the AuthLDAPBindDN user in Active Directory
  AuthLDAPBindPassword "[somepasswordthatworks]"

  # The LDAP query URL
  AuthLDAPURL "ldap://ldap.domainanme:3268/?userPrincipalName?sub"
  AuthUserFile /dev/null

  # Require a valid user
    AuthLDAPGroupAttribute member
    AuthLDAPCompareAsUser On
    Require ldap-group CN=mercurial,CN=Users,DC=tangent-animation,DC=com

当我尝试以该组成员的身份登录时,我要么进入 httpd 日志:

[Thu Jul 09 10:04:25.659371 2015] [authz_core:error] [pid 67495] [client 10.1.1.2:50371] AH01631:

或者错误 AH01618

不管怎样,过去几天它一直让我发疯......

我尝试将附加身份验证部分添加到 httpd.conf 中列出的站点,而不是 vhosts,以防 vhosts 文件中出现错误。但它仍然不起作用,它确实给了我一个服务器 500 错误。但日志没有任何具体指向的内容。

我用 Google 搜索了所有我能想到的内容,并尝试从 Windows 角度和 Apache 角度进行查找。我所看到的所有 Apache 文档或信息都列出了基本相同的设置,其中 ldap 配置行指向 389 端口或 GC 端口.... 以及 samaccountname 或 userprinciple....

在同一台服务器上,我确实让 samba4.1 运行良好并作为域成员连接......并且文件访问/kerberos 等都运行良好。

此外,如果我删除 auth ldap 内容,并完全打开它,网站就可以正常工作,所以这肯定是 auth 配置中的问题。

基本上我很困惑.....对于显而易见的事情有什么想法要尝试吗?

短暂性脑缺血发作

答案1

在一些帮助下它工作了......

因此,大多数用户都存储在另一个 OU 中,因此,尽管我确定我尝试过,但搜索字符串 (ldap:// 需要只有 dc=domain,而不是将其限制为 cn=Users

 AuthName "Dialog-box-name"
 AuthType "Basic"
AuthBasicProvider ldap
AuthLDAPURL ldap://[AD-Server-Hostname.FQDN]:3268/dc=[domain],dc=com?sAMAccountName?sub?(objectCategory=*)
  AuthLDAPBindDN cn=[ad-search-user-account],cn=Users,dc=[domain],dc=com
 AUthLDAPBindPassword [Insert-Working-Password-here]
 #AuthLDAPAuthoritative on
 #AuthLDAPGroupAttributeIsDN off
 Require ldap-group CN=[GroupName-your-using],CN=Users,DC=domain,DC=com

相关内容