Active-Directory

freebsd 10.x apache 2.4.12 和活動目錄身份驗證

  • July 14, 2015

所以我試圖讓 apache 2.4 與執行在 10.x 的 freebsd 盒子上的活動目錄對話

從埠建構的 apache …打開 ldap …. 2.4.12

Windows 2012 R2 活動目錄….我檢查了預設域控制器 GPO 不需要 ldap ssl。

我已經確認了 ADSIEdit 配置中列出的組名,並檢查了我正在連接的使用者….

這是配置範例:

vhosts.conf
  <VirtualHost 10.1.1.10:80>
ServerAdmin administrator@domainname.com
ServerName hg.domainname.com
ServerAlias www.hg.domainname.com
ScriptAlias /hg  /usr/local/www/mercurial/hgweb.cgi
ErrorLog "/var/log/hg-http-error.log"
CustomLog "/var/log/hg-http-access.log" common
<Location /hg>
Options Indexes ExecCGI FollowSymlinks
AddHandler cgi-script .cgi .fcgi
   AllowOverride All

 Order allow,deny
 Allow from all
#Rem'd part of initial no auth testing
   #Require all granted
 AuthType Basic
 AuthName "Please use your Windows Logon"
 AuthBasicProvider ldap
 AuthzLDAPAuthoritative off
 # Active Directory requires an authenticating DN to access records
 AuthLDAPBindDN "[activedirectoryid]@domainname.com"

 # This is the password for the AuthLDAPBindDN user in Active Directory
 AuthLDAPBindPassword "[somepasswordthatworks]"

 # The LDAP query URL
 AuthLDAPURL "ldap://ldap.domainanme:3268/?userPrincipalName?sub"
 AuthUserFile /dev/null

 # Require a valid user
   AuthLDAPGroupAttribute member
   AuthLDAPCompareAsUser On
   Require ldap-group CN=mercurial,CN=Users,DC=tangent-animation,DC=com

當我嘗試使用該組成員的使用者登錄時,我要麼進入 httpd 日誌:

[Thu Jul 09 10:04:25.659371 2015] [authz_core:error] [pid 67495] [client 10.1.1.2:50371] AH01631:

或者和錯誤AH01618

無論哪種方式,過去幾天都讓我發瘋……

我嘗試將附加的身份驗證部分添加到 httpd.conf 中列出的站點,而不是 vhosts,以防萬一我在 vhosts 文件中出現問題。但它仍然不起作用,它確實給了我一個伺服器 500 錯誤。但是日誌沒有任何具體指向。

我用Google搜尋了我能想到的一切,我嘗試從窗戶角度和 apache 方面看。我看到的所有 apache 文件或資訊都列出了基本相同的設置,其中 ldap 配置行指向 389 埠或 GC 埠….以及 samaccountname 或 userprinciple….

在同一台伺服器上,我確實讓 samba4.1 執行良好並作為域成員連接……並且文件訪問/kerberos 等都執行良好。

另外,如果我刪除了 auth ldap 的東西,只是讓它完全打開站點工作正常,所以它肯定是 auth 配置中的東西。

基本上我被難住了……對顯而易見的事情的想法?

TIA

得到它的一些幫助工作……

所以大多數使用者都儲存在另一個 OU 中,所以即使我確定我嘗試過,搜尋字元串 (ldap:// 只需要 dc=domain,而不是將其限制為 cn=Users

AuthName "Dialog-box-name"
AuthType "Basic"
AuthBasicProvider ldap
AuthLDAPURL ldap://[AD-Server-Hostname.FQDN]:3268/dc=[domain],dc=com?sAMAccountName?sub?(objectCategory=*)
 AuthLDAPBindDN cn=[ad-search-user-account],cn=Users,dc=[domain],dc=com
AUthLDAPBindPassword [Insert-Working-Password-here]
#AuthLDAPAuthoritative on
#AuthLDAPGroupAttributeIsDN off
Require ldap-group CN=[GroupName-your-using],CN=Users,DC=domain,DC=com

引用自:https://serverfault.com/questions/704642