因此,我尝试让 apache 2.4 与在装有 10.x 的 freebsd 机器上运行的活动目录进行对话
apache 从端口构建...并开启 ldap.... 2.4.12
Windows 2012 R2 活动目录....我检查了默认域控制器 GPO 不需要 ldap ssl。
我已确认 ADSIEdit 中的配置中列出的组名,并检查了我正在连接的用户......
以下是配置示例:
vhosts.conf
<VirtualHost 10.1.1.10:80>
ServerAdmin [email protected]
ServerName hg.domainname.com
ServerAlias www.hg.domainname.com
ScriptAlias /hg /usr/local/www/mercurial/hgweb.cgi
ErrorLog "/var/log/hg-http-error.log"
CustomLog "/var/log/hg-http-access.log" common
<Location /hg>
Options Indexes ExecCGI FollowSymlinks
AddHandler cgi-script .cgi .fcgi
AllowOverride All
Order allow,deny
Allow from all
#Rem'd part of initial no auth testing
#Require all granted
AuthType Basic
AuthName "Please use your Windows Logon"
AuthBasicProvider ldap
AuthzLDAPAuthoritative off
# Active Directory requires an authenticating DN to access records
AuthLDAPBindDN "[activedirectoryid]@domainname.com"
# This is the password for the AuthLDAPBindDN user in Active Directory
AuthLDAPBindPassword "[somepasswordthatworks]"
# The LDAP query URL
AuthLDAPURL "ldap://ldap.domainanme:3268/?userPrincipalName?sub"
AuthUserFile /dev/null
# Require a valid user
AuthLDAPGroupAttribute member
AuthLDAPCompareAsUser On
Require ldap-group CN=mercurial,CN=Users,DC=tangent-animation,DC=com
当我尝试以该组成员的身份登录时,我要么进入 httpd 日志:
[Thu Jul 09 10:04:25.659371 2015] [authz_core:error] [pid 67495] [client 10.1.1.2:50371] AH01631:
或者错误 AH01618
不管怎样,过去几天它一直让我发疯......
我尝试将附加身份验证部分添加到 httpd.conf 中列出的站点,而不是 vhosts,以防 vhosts 文件中出现错误。但它仍然不起作用,它确实给了我一个服务器 500 错误。但日志没有任何具体指向的内容。
我用 Google 搜索了所有我能想到的内容,并尝试从 Windows 角度和 Apache 角度进行查找。我所看到的所有 Apache 文档或信息都列出了基本相同的设置,其中 ldap 配置行指向 389 端口或 GC 端口.... 以及 samaccountname 或 userprinciple....
在同一台服务器上,我确实让 samba4.1 运行良好并作为域成员连接......并且文件访问/kerberos 等都运行良好。
此外,如果我删除 auth ldap 内容,并完全打开它,网站就可以正常工作,所以这肯定是 auth 配置中的问题。
基本上我很困惑.....对于显而易见的事情有什么想法要尝试吗?
短暂性脑缺血发作
答案1
在一些帮助下它工作了......
因此,大多数用户都存储在另一个 OU 中,因此,尽管我确定我尝试过,但搜索字符串 (ldap:// 需要只有 dc=domain,而不是将其限制为 cn=Users
AuthName "Dialog-box-name"
AuthType "Basic"
AuthBasicProvider ldap
AuthLDAPURL ldap://[AD-Server-Hostname.FQDN]:3268/dc=[domain],dc=com?sAMAccountName?sub?(objectCategory=*)
AuthLDAPBindDN cn=[ad-search-user-account],cn=Users,dc=[domain],dc=com
AUthLDAPBindPassword [Insert-Working-Password-here]
#AuthLDAPAuthoritative on
#AuthLDAPGroupAttributeIsDN off
Require ldap-group CN=[GroupName-your-using],CN=Users,DC=domain,DC=com