freebsd 10.x apache 2.4.12 和活動目錄身份驗證
所以我試圖讓 apache 2.4 與執行在 10.x 的 freebsd 盒子上的活動目錄對話
從埠建構的 apache …打開 ldap …. 2.4.12
Windows 2012 R2 活動目錄….我檢查了預設域控制器 GPO 不需要 ldap ssl。
我已經確認了 ADSIEdit 配置中列出的組名,並檢查了我正在連接的使用者….
這是配置範例:
vhosts.conf <VirtualHost 10.1.1.10:80> ServerAdmin administrator@domainname.com ServerName hg.domainname.com ServerAlias www.hg.domainname.com ScriptAlias /hg /usr/local/www/mercurial/hgweb.cgi ErrorLog "/var/log/hg-http-error.log" CustomLog "/var/log/hg-http-access.log" common <Location /hg> Options Indexes ExecCGI FollowSymlinks AddHandler cgi-script .cgi .fcgi AllowOverride All Order allow,deny Allow from all #Rem'd part of initial no auth testing #Require all granted AuthType Basic AuthName "Please use your Windows Logon" AuthBasicProvider ldap AuthzLDAPAuthoritative off # Active Directory requires an authenticating DN to access records AuthLDAPBindDN "[activedirectoryid]@domainname.com" # This is the password for the AuthLDAPBindDN user in Active Directory AuthLDAPBindPassword "[somepasswordthatworks]" # The LDAP query URL AuthLDAPURL "ldap://ldap.domainanme:3268/?userPrincipalName?sub" AuthUserFile /dev/null # Require a valid user AuthLDAPGroupAttribute member AuthLDAPCompareAsUser On Require ldap-group CN=mercurial,CN=Users,DC=tangent-animation,DC=com
當我嘗試使用該組成員的使用者登錄時,我要麼進入 httpd 日誌:
[Thu Jul 09 10:04:25.659371 2015] [authz_core:error] [pid 67495] [client 10.1.1.2:50371] AH01631:
或者和錯誤AH01618
無論哪種方式,過去幾天都讓我發瘋……
我嘗試將附加的身份驗證部分添加到 httpd.conf 中列出的站點,而不是 vhosts,以防萬一我在 vhosts 文件中出現問題。但它仍然不起作用,它確實給了我一個伺服器 500 錯誤。但是日誌沒有任何具體指向。
我用Google搜尋了我能想到的一切,我嘗試從窗戶角度和 apache 方面看。我看到的所有 apache 文件或資訊都列出了基本相同的設置,其中 ldap 配置行指向 389 埠或 GC 埠….以及 samaccountname 或 userprinciple….
在同一台伺服器上,我確實讓 samba4.1 執行良好並作為域成員連接……並且文件訪問/kerberos 等都執行良好。
另外,如果我刪除了 auth ldap 的東西,只是讓它完全打開站點工作正常,所以它肯定是 auth 配置中的東西。
基本上我被難住了……對顯而易見的事情的想法?
TIA
得到它的一些幫助工作……
所以大多數使用者都儲存在另一個 OU 中,所以即使我確定我嘗試過,搜尋字元串 (ldap:// 只需要 dc=domain,而不是將其限制為 cn=Users
AuthName "Dialog-box-name" AuthType "Basic" AuthBasicProvider ldap AuthLDAPURL ldap://[AD-Server-Hostname.FQDN]:3268/dc=[domain],dc=com?sAMAccountName?sub?(objectCategory=*) AuthLDAPBindDN cn=[ad-search-user-account],cn=Users,dc=[domain],dc=com AUthLDAPBindPassword [Insert-Working-Password-here] #AuthLDAPAuthoritative on #AuthLDAPGroupAttributeIsDN off Require ldap-group CN=[GroupName-your-using],CN=Users,DC=domain,DC=com