我正在配置Apache2以要求特定资源的有效LDAP凭据。我有以下ColumntoSelect
2
4
8
23
AuthnProviderAlias配置了基本身份验证,提示凭据但用户无法进入.Apache报告内部服务器500响应代码。
当我添加<AuthnProviderAlias ldap users>
AuthLDAPURL "ldap://ldap.devops.ok/dc=devops,dc=ok?uid?sub?(&(objectClass=organizationalPerson)(isMemberOf=cn=users,dc=groups,dc=devops,dc=ok))"
AuthLDAPBindDN "cn=admin"
AuthLDAPBindPassword ****
</AuthnProviderAlias>
日志时,表明用户无效
LogLevel debug我怀疑[Thu Sep 01 08:57:37.878815 2016] [authz_core:debug] [pid 3501] mod_authz_core.c(809): [client 10.0.2.2:34163] AH01626: authorization result of Require valid-user : denied (no authenticated user yet)
[Thu Sep 01 08:57:37.878887 2016] [authz_core:debug] [pid 3501] mod_authz_core.c(809): [client 10.0.2.2:34163] AH01626: authorization result of <RequireAny>: denied (no authenticated user yet)
是不正确的。
如何检查此网址是否正确? URL现在很简单,但会更复杂。是否有更好的方法来提供除试验和错误之外的有效URL,重新加载Apache服务?我可以使用哪些工具?
答案 0 :(得分:1)
我建议使用ldapsearch实用程序进行检查,以确保您可以使用过滤器成功绑定搜索。
ldapsearch -x -H ldap://ldap.devops.ok -b dc=devops,dc=ok -D "cn=Admin" -w yourpassword "(&(objectClass=organizationalPerson)(isMemberOf=cn=users,dc=groups,dc=devops,dc=ok))" uid
也像jwilleke建议仔细检查你的BindDN以确保它是正确的。
使用“cn = Admin”或“cn = Directory Manager”(您的Directory Server的管理员帐户)绑定到目录服务器并不是一种好的安全措施。创建无特权的服务帐户以执行这些任务。
答案 1 :(得分:0)
我猜cn = admin就是问题所在。 这是管理员用户的完全可分辨名称吗?
&#34;尚未通过身份验证的用户&#34;意味着LDAP服务器实现不接受绑定请求。
尝试使用KNOW良好的LDAP浏览器进行连接。 (我们喜欢APache Studio)