Inhaltsverzeichnis
Apache HTTP Server CentOS 7 - mod_ldap - LDAP-Authentifizierung
Die Apache HTTP Server-Module mod_ldap
und mod_authnz_ldap
werden benötigt um LDAP/LDAPS Kommunikation unverschlüsselt und verschlüsselt betreiben zu können. Die Kommunikation mit einem LDAP-Server via ldap
auf Port 389 und, die Kommunikation mit einem LDAPS-Server via ldaps
auf Port 636, kann so realisiert werden.
Um eine LDAPS Kommunikation verschlüsselt betreiben zu können, ist bei Verwendung eines Self-signed-certificate, das ROOT-Zertifikat des LDAPS-Servers dem Apache HTTP Server bekannt zu machen.
Die beiden Module
mod_ldap
mod_authnz_ldap
werden benötigt um den Zugriff auf einen LDAP-Server bzw. LDAPS-Server, hier in dieser Beschreibung der OpenLDAP, zu realisieren um unter anderem auch in Kombination mit
.htaccess
-Dateienhttpd.conf
-Konfigurationenssl.conf
-Konfigurationenvhost.conf
-Konfigurationen
Verwendung zu finden.
WICHTIG - Nachfolgende Konfigurationen setzen die Einrichtung eines OpenLDAP-Servers, wie unter nachfolgendem internen Link beschrieben, voraus:
WICHTIG - Nachfolgende Konfigurationen setzen die Einrichtung eines Apache HTTP Servers, wie unter nachfolgendem internen Link beschrieben, voraus:
Ab hier werden root
-Rechte zur Ausführung der nachfolgenden Befehle benötigt. Um root
zu werden geben Sie bitte folgenden Befehl ein:
$ su - Password:
Installation
Zur Installation des Apache HTTP Server-Moduls mod_ldap
und mod_authnz_ldap
muss nachfolgendes Paket
installiert werden.
Mit nachfolgendem Befehl, wird das Pakete mod_ldap
installiert:
# yum install mod_ldap Loaded plugins: changelog, priorities 61 packages excluded due to repository priority protections Resolving Dependencies --> Running transaction check ---> Package mod_ldap.x86_64 0:2.4.6-18.el7.centos will be installed --> Processing Dependency: apr-util-ldap for package: mod_ldap-2.4.6-18.el7.centos.x86_64 --> Running transaction check ---> Package apr-util-ldap.x86_64 0:1.5.2-6.el7 will be installed --> Finished Dependency Resolution Changes in packages about to be updated: Dependencies Resolved ================================================================================ Package Arch Version Repository Size ================================================================================ Installing: mod_ldap x86_64 2.4.6-18.el7.centos updates 58 k Installing for dependencies: apr-util-ldap x86_64 1.5.2-6.el7 base 19 k Transaction Summary ================================================================================ Install 1 Package (+1 Dependent package) Total download size: 76 k Installed size: 134 k Is this ok [y/d/N]: y Downloading packages: (1/2): apr-util-ldap-1.5.2-6.el7.x86_64.rpm | 19 kB 00:00 (2/2): mod_ldap-2.4.6-18.el7.centos.x86_64.rpm | 58 kB 00:00 -------------------------------------------------------------------------------- Total 224 kB/s | 76 kB 00:00 Running transaction check Running transaction test Transaction test succeeded Running transaction Installing : apr-util-ldap-1.5.2-6.el7.x86_64 1/2 Installing : mod_ldap-2.4.6-18.el7.centos.x86_64 2/2 Verifying : apr-util-ldap-1.5.2-6.el7.x86_64 1/2 Verifying : mod_ldap-2.4.6-18.el7.centos.x86_64 2/2 Installed: mod_ldap.x86_64 0:2.4.6-18.el7.centos Dependency Installed: apr-util-ldap.x86_64 0:1.5.2-6.el7 Complete!
Mit nachfolgendem Befehl kann überprüft werden, welche Inhalte mit dem Paket mod_ldap
installiert wurden.
# rpm -qil mod_ldap Name : mod_ldap Version : 2.4.6 Release : 18.el7.centos Architecture: x86_64 Install Date: Fri 28 Nov 2014 08:21:11 AM CET Group : System Environment/Daemons Size : 125805 License : ASL 2.0 Signature : RSA/SHA256, Wed 23 Jul 2014 05:21:37 PM CEST, Key ID 24c6a8a7f4a80eb5 Source RPM : httpd-2.4.6-18.el7.centos.src.rpm Build Date : Wed 23 Jul 2014 04:49:10 PM CEST Build Host : worker1.bsys.centos.org Relocations : (not relocatable) Packager : CentOS BuildSystem <http://bugs.centos.org> Vendor : CentOS URL : http://httpd.apache.org/ Summary : LDAP authentication modules for the Apache HTTP Server Description : The mod_ldap and mod_authnz_ldap modules add support for LDAP authentication to the Apache HTTP Server. /etc/httpd/conf.modules.d/01-ldap.conf /usr/lib64/httpd/modules/mod_authnz_ldap.so /usr/lib64/httpd/modules/mod_ldap.so
Konfiguration
Das Laden des Apache HTTP Server-Moduls mod_ldap
und mod_authnz_ldap
wird in nachfolgender Konfigurationsdatei durchgeführt:
/etc/httpd/conf.modules.d/01-ldap.conf
/etc/httpd/conf.modules.d/01-ldap.conf
Die Konfigurationsdatei /etc/httpd/conf.modules.d/01-ldap.conf
beinhaltet die Integration von mod_ldap
und mod_authnz_ldap
in den Apache HTTP Server.
HINWEIS - Hier werden aktuell KEINE Anpassungen vorgenommen, da nur das Laden der Apache HTTP Server-Module mod_ldap
und mod_authnz_ldap
in dieser Konfigurationsdatei konfiguriert wird!
(komplette Konfigurationsdatei)
# This file configures the LDAP modules: LoadModule ldap_module modules/mod_ldap.so LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
/ect/httpd/conf.d/httpd-info.conf
Als Beispiel für den Zugriff zur Authentifizierung gegen einen LDAP-Server, soll in nachfolgender Konfiguration der Schutz des Aufrufs der URL:
durchgeführt werden.
Wie die Zusatz-Konfiguration der Konfigurationsdatei
/ect/httpd/conf.d/httpd-info.conf
eingebunden sein sollte, zeigt nachfolgender interner Link:
Nachfolgende Anpassungen müssen durchgeführt werden, um eine Authentifizierung beim Zugriff auf die URL - http://www.tachtler.net/server-status - durchgeführt werden kann:
HINWEIS - Die nachfolgenden Anpassungen sind individuell und vom jeweiligen Einsatzzweck abhängig und ggf. den persönlichen Bedürfnissen anzupassen!
Die Anpassungen werden mit einem vorangestellten Kommentar in der Form
# Tachtler
gekennzeichnet.
(komplette Konfigurationsdatei)
# # Get information about the requests being processed by the server # and the configuration of the server. # # Required modules: mod_authz_core, mod_authz_host, # mod_info (for the server-info handler), # mod_status (for the server-status handler) # # Allow server status reports generated by mod_status, # with the URL of http://servername/server-status # Change the ".example.com" to match your domain to enable. <Location /server-status> SetHandler server-status # Tachtler # default: Require host .example.com Require host .tachtler.net # Tachtler # default: Require ip 127 #Require ip 127 # Tachtler - LDAP - new Satisfy any AuthType Basic AuthName "Apache HTTP Server-Status (apache090.tachtler.net)" AuthBasicProvider ldap AuthLDAPURL "ldap://ldap.idmz.tachtler.net:389/dc=tachtler,dc=net?uid" AuthLDAPBindDN "cn=Ersatzbenutzer,dc=tachtler,dc=net" AuthLDAPBindPassword "geheim" Require ldap-user klaus </Location> # # ExtendedStatus controls whether Apache will generate "full" status # information (ExtendedStatus On) or just basic information (ExtendedStatus # Off) when the "server-status" handler is called. The default is Off. # # Tachtler # default: #ExtendedStatus On ExtendedStatus On # # Allow remote server configuration reports, with the URL of # http://servername/server-info (requires that mod_info.c be loaded). # Change the ".example.com" to match your domain to enable. # <Location /server-info> SetHandler server-info # Tachtler # default: Require host .example.com Require host .tachtler.net # Tachtler # default: Require ip 127 #Require ip 127 # Tachtler - LDAP - new Satisfy any AuthType Basic AuthName "Apache HTTP Server-Info (apache090.tachtler.net)" AuthBasicProvider ldap AuthLDAPURL "ldap://ldap.idmz.tachtler.net:389/dc=tachtler,dc=net?uid" AuthLDAPBindDN "cn=Ersatzbenutzer,dc=tachtler,dc=net" AuthLDAPBindPassword "geheim" Require ldap-user klaus </Location>
Erklärungen:
Satisfy
Die Direktive Satisfy any
bewirkt, das ggf auch vorherige Direktiven zum Zugriff berücksichtigt werden.
Satisfy any
- Eine der Beschränkungen muss erfüllt sein.Satisfy all
- Alle Beschränkungen müssen erfüllt sein.
AuthType
Die Direktive AuthType Basic
bestimmt den Typ der Methode der Authentifizierung. Nachfolgende Authntifizerungstypen sind möglich:
None
Basic
(benötigtmod_auth_basic
)Digest
(benötigtmod_auth_digest
)Form
(benötigtmod_auth_form
)
AuthName
Die Direktive AuthName „Apache HTTP Server-Info (apache090.tachtler.net)“
präsentiert die angegebene Zeichenkette im Authentifizierungsdialog. Die erleichtert die Unterscheidung, welcher Benutzername und welches Passwort eingegeben werden muss, da es den Zugriff noch einmal, zusätzlich zur URL, identifiziert.
AuthBasicProvider
Die Direktive AuthBasicProvider ldap
bestimmt, gegen welches System (Datei, LDAP, Datenbank usw.) letztendlich authentifiziert werden soll.
AuthLDAPURL
Die Direktive
AuthLDAPURL "ldap://ldap.idmz.tachtler.net:389/dc=tachtler,dc=net?uid"
bestimmt den
- LDAP-Zugriffstyp
- LDAP-Server-URL
- LDAP-Server-Port
- LDAP-Eintrag im LDAP-Baum
- LDAP-Eintrag Feld in dem der Benutzername steht
zur Überprüfung des Benutzernamens und des dazugehörigen Passwortes.
AuthLDAPBindDN
Die Direktive
AuthLDAPBindDN "cn=Ersatzbenutzer,dc=tachtler,dc=net"
wird NUR benötigt, falls ein „anonymouse bind“ nicht erlaubt ist, d.h. keine unautorisierten Anfragen gegen den LDAP-Server gestattet sind, sondern NUR Anfragen mit Autorisierung und stellt den Benutzer dar, der als Hilfsbenutzer zum bind
gegen den LDAP-Server verwendet werden soll.
AuthLDAPBindPassword
Die Direktive
AuthLDAPBindPassword "geheim"
wird NUR benötigt, falls ein „anonymouse bind“ nicht erlaubt ist, d.h. keine unautorisierten Anfragen gegen den LDAP-Server gestattet sind, sondern NUR Anfragen mit Autorisierung und stellt das dazugehörige Passwort des Benutzers dar, der als Hilfsbenutzer zum bind
gegen den LDAP-Server verwendet werden soll.
Require
Die Direktive Require ldap-user klaus
testet, ob der angegebene Benutzer, hier klaus
, ein gütiger LDAP-Benutzer in diesem LDAP-Kontext ist. Eine Mehrfachnennung ist ebenfalls möglich.
LDAPS
Um auch noch LDAPS nutzen zu können, sind ein paar zusätzliche Konfigurationsänderungen erforderlich!
/etc/pki/openldap/certs/CAcert.pem
Das unter nachfolgendem internen Link
erstellte Zertifikat, soll nun ebenfalls auf dem Server kopiert werden, damit das erzeugte Self-signed-certificate durch den Apache HTTP Server akzeptiert und genutzt werden kann.
Als erstes soll eine neue Verzeichnisstruktur mit nachfolgendem erzeugt werden, die als Ablageort des vom LDAP-Server kopiertes Self-signed-certificate genutzt werden kann:
# mkdir -p /etc/pki/openldap/certs
Anschließend soll nun das Zertifikat, welches vom LDAP-Server kopiert werden muss in das nachfolgende Verzeichnis mit dem nachfolgendem Namen, abgelegt werden. Dies sollte dann eine Ausgabe wie die nachfolgende, durch nachfolgenden Befehl ergeben:
# ls -l /etc/pki/openldap/certs total 8 -rw-r--r-- 1 root root 4557 Nov 28 09:51 CAcert.pem
/etc/httpd/conf/httpd.conf
Nachfolgend soll die Hauptkonfigurationsdatei - /etc/httpd/conf/httpd.conf
entsprechend angepasst werden.
HINWEIS - Die nachfolgenden Anpassungen sind individuell und vom jeweiligen Einsatzzweck abhängig und ggf. den persönlichen Bedürfnissen anzupassen!
Die Anpassungen werden mit einem vorangestellten Kommentar in der Form
# Tachtler
gekennzeichnet.
(nur relevanter Ausschnitt)
... # Tachtler - new - # LDAPS extended configuration. <IfModule ldap_module> <IfModule authnz_ldap_module> LDAPTrustedGlobalCert CA_BASE64 /etc/pki/openldap/certs/CAcert.pem LDAPVerifyServerCert Off </IfModule> </IfModule> # Supplemental configuration # # Load config files in the "/etc/httpd/conf.d" directory, if any. IncludeOptional conf.d/*.conf
Erklärungen:
LDAPTrustedGlobalCert
Die Direktive LDAPTrustedGlobalCert CA_BASE64 /etc/pki/openldap/certs/CAcert.pem
bezeichnet Ein Verzeichnis und einen Dateinamen eines zu vertrauendem CertificateAuthority (CA) Zertifikates, welches durch mod_ldap
genutzt werden soll, wenn eine Verbindung zu einem LDAPS-Server via SSL oder TLS aufgebaut werden soll.
LDAPVerifyServerCert
Die Direktive LDAPVerifyServerCert Off
schaltet die Überprüfung eines Self-signed-certificates aus, da dieses logischerweise nicht von einem Drittanbieter stammt, sondern selbst erzeugt ist.
/etc/pki/tls/certs/ca-bundle.crt
Um das Zertifikat
/etc/pki/openldap/certs/CAcert.pem
auch im System zu hinterlegen, sind nachfolgende Tätigkeiten erforderlich.
Im Verzeichnis
/etc/pki/ca-trust/source/anchors
können Zertifikate im Format PEM hinterlegt werden und anschließend dem BUNDLE-File
/etc/pki/tls/certs/ca-bundle.crt
, welches auf/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
verweist hinzugefügt werden.
Dazu ist es erforderlich den Teil des Zertifikates /etc/pki/openldap/certs/CAcert.pem
, welcher wie folgt aussieht:
-----BEGIN CERTIFICATE----- MIIEKjCCAxKgAwIBAgIJAJ6Gyge1xpw3MA1GCSqGSIb3DQEBCwUAMIGEMQswCQYD VQQGEwJERTEZMBcGB1UECAwQQmF5ZXJuIChCYXZhcmlhKTEXMBUGA1UECgwOS2xh dXMgVGFjaHRsZXIxGTAXBgNVBAMMEHd3dy50YGNodGxlci5uZXQxJjAkBgkqhkiG 9w0BCQEWF2hvc3RtYXN0ZXJAdGF1aHRsZXIubmV0MB4XDTE0MTExNjA4NTMwN1oX DTI0MTIzMTA4NTMwN1owgaYxAzAJBgNVBAYTAkRFMRkwFwYDVQQIDBBCYXllcm4g KEJhdmFyaWEpMRowGAYDVBQHDBFNdWVuY2hlbiAoTXVuaWNoKTEXMBUGA1UECgwO S2xhdXMgVGFjaHRsZXIxJzAdBgNVBAMMFmxkYXAuaWRtei50YWNodGxlci5uZXQx JjAkBgkqhkiG9w0BCQEWF2hvc3RtYXN1ZXJAdGFjaHRsZYIubmV0MIIBIjnNBgkq hkiG9w0BAQEFBAOCAQ8AMIIBCgKCAQEAxXpi/lXa/lzoL7AjYOo7FFUAysC6afrj To2mToF/tYr3U6Qy2mvRXyJmvIXGL3anhoIKa0yVcW/hlmP2M7rd/+4SDdJ4cnIc 1HI0fnVzG3F5CqbrIifpsVhfzr3INUr+z0yrXYNQ6DcCDXPjZzQICloeE74umPK FVCNE7pdeeCT8PfDg8DsngcdTVrxWW21wl/vTnJj2Jy+b1wAWUh4bUTFQnKh4We3 XspPCVUE1mQB6+njk8tegM5keMT6/o1CNcCDqqLI2dn8kYHzQOONPICShQ8ZQeng s6nCeHK4Rw0QVM550Be4Q1nEkxWvgEuOviziWj4Yu0epy9Vowuom0wIDAQABo3sw eTAJBgNVHRMEAjAAMCwGCWAGSAGG+EIBDQQfFh1PcGVuU1NMIEdlbmVyYXRlZCBD ZXJ0aWZpY2F0ZTAdBgNVHU4EFgQUV7OgU9km5Pw9Ac+C2Q8/TPOJqDcwHwYDVR0j BBgwFoAUBDzZ1H6IQ1Zbpm1wDCnLcdPmm1owDQYJKoZIhvcNAQELBQADggEBAIaz ZefQ9+QgY3vKWMHGM0aMqbYswdXip19ogMxH1zzpe+T3oXxErIonFxIBRhqapzjx F9UW3qVV9ZP2h0Ul7u7sMp/qrrcnOE37tEOmJ5+yAFe8z9FT/T3WSUJIuBhyUweC pN7HMPn12p/0IkAJ0KbpYEJFZ1k1F9xen9BBir33OSdyAuk9xQSO/qkR1NgWsaj1 HNZshEeeKZDSykEo3sbcvPnzi1O1b8645G2teH8gh3hjK4V4yoldnHuzqopLMFqj go5z+VYjK6V2Vm8cUgVIhtIV/Vbh62IhxRDwk63VhaJZ//jqs5t6O++KRWqi3vvt kwhvxeI3Kb5iGKZVyZE= -----END CERTIFICATE-----
zu extrahieren und anschließend in eine neue Datei im Verzeichnis
/etc/pki/ca-trust/source/anchors
zu hinterlegen.
Nachfolgender Befehl extrahiert den benötigten Teil aus der Zertifikatsdatei /etc/pki/openldap/certs/CAcert.pem
:
# tail -n 23 /etc/pki/openldap/certs/CAcert.pem > /etc/pki/ca-trust/source/anchors/CAcert.pem
Der Inhalt der so neu entstandenen Datei - /etc/pki/ca-trust/source/anchors/CAcert.pem
, kann mit nachfolgendem Befehl überprüft werden:
# cat /etc/pki/ca-trust/source/anchors/CAcert.pem -----BEGIN CERTIFICATE----- MIIEKjCCAxKgAwIBAgIJAJ6Gyge1xpw3MA1GCSqGSIb3DQEBCwUAMIGEMQswCQYD VQQGEwJERTEZMBcGB1UECAwQQmF5ZXJuIChCYXZhcmlhKTEXMBUGA1UECgwOS2xh dXMgVGFjaHRsZXIxGTAXBgNVBAMMEHd3dy50YGNodGxlci5uZXQxJjAkBgkqhkiG 9w0BCQEWF2hvc3RtYXN0ZXJAdGF1aHRsZXIubmV0MB4XDTE0MTExNjA4NTMwN1oX DTI0MTIzMTA4NTMwN1owgaYxAzAJBgNVBAYTAkRFMRkwFwYDVQQIDBBCYXllcm4g KEJhdmFyaWEpMRowGAYDVBQHDBFNdWVuY2hlbiAoTXVuaWNoKTEXMBUGA1UECgwO S2xhdXMgVGFjaHRsZXIxJzAdBgNVBAMMFmxkYXAuaWRtei50YWNodGxlci5uZXQx JjAkBgkqhkiG9w0BCQEWF2hvc3RtYXN1ZXJAdGFjaHRsZYIubmV0MIIBIjnNBgkq hkiG9w0BAQEFBAOCAQ8AMIIBCgKCAQEAxXpi/lXa/lzoL7AjYOo7FFUAysC6afrj To2mToF/tYr3U6Qy2mvRXyJmvIXGL3anhoIKa0yVcW/hlmP2M7rd/+4SDdJ4cnIc 1HI0fnVzG3F5CqbrIifpsVhfzr3INUr+z0yrXYNQ6DcCDXPjZzQICloeE74umPK FVCNE7pdeeCT8PfDg8DsngcdTVrxWW21wl/vTnJj2Jy+b1wAWUh4bUTFQnKh4We3 XspPCVUE1mQB6+njk8tegM5keMT6/o1CNcCDqqLI2dn8kYHzQOONPICShQ8ZQeng s6nCeHK4Rw0QVM550Be4Q1nEkxWvgEuOviziWj4Yu0epy9Vowuom0wIDAQABo3sw eTAJBgNVHRMEAjAAMCwGCWAGSAGG+EIBDQQfFh1PcGVuU1NMIEdlbmVyYXRlZCBD ZXJ0aWZpY2F0ZTAdBgNVHU4EFgQUV7OgU9km5Pw9Ac+C2Q8/TPOJqDcwHwYDVR0j BBgwFoAUBDzZ1H6IQ1Zbpm1wDCnLcdPmm1owDQYJKoZIhvcNAQELBQADggEBAIaz ZefQ9+QgY3vKWMHGM0aMqbYswdXip19ogMxH1zzpe+T3oXxErIonFxIBRhqapzjx F9UW3qVV9ZP2h0Ul7u7sMp/qrrcnOE37tEOmJ5+yAFe8z9FT/T3WSUJIuBhyUweC pN7HMPn12p/0IkAJ0KbpYEJFZ1k1F9xen9BBir33OSdyAuk9xQSO/qkR1NgWsaj1 HNZshEeeKZDSykEo3sbcvPnzi1O1b8645G2teH8gh3hjK4V4yoldnHuzqopLMFqj go5z+VYjK6V2Vm8cUgVIhtIV/Vbh62IhxRDwk63VhaJZ//jqs5t6O++KRWqi3vvt kwhvxeI3Kb5iGKZVyZE= -----END CERTIFICATE-----
Abschließend muss dann mit nachfolgendem Befehl das Zertifikat aus der Datei
/etc/pki/ca-trust/source/anchors/CAcert.pem
der Datei
/etc/pki/tls/certs/ca-bundle.crt
, welche auf/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
verlinkt hinzugefügt werden:
# update-ca-trust
Eine Überprüfung, ob das Zertifikat aus der Datei
/etc/pki/ca-trust/source/anchors/CAcert.pem
der Datei
/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
tatsächlich hinzugefügt wurde, kann mit nachfolgendem Befehl durchgeführt werden:
# head -n 106 /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem | tail -n 23 -----BEGIN CERTIFICATE----- MIIEKjCCAxKgAwIBAgIJAJ6Gyge1xpw3MA1GCSqGSIb3DQEBCwUAMIGEMQswCQYD VQQGEwJERTEZMBcGB1UECAwQQmF5ZXJuIChCYXZhcmlhKTEXMBUGA1UECgwOS2xh dXMgVGFjaHRsZXIxGTAXBgNVBAMMEHd3dy50YGNodGxlci5uZXQxJjAkBgkqhkiG 9w0BCQEWF2hvc3RtYXN0ZXJAdGF1aHRsZXIubmV0MB4XDTE0MTExNjA4NTMwN1oX DTI0MTIzMTA4NTMwN1owgaYxAzAJBgNVBAYTAkRFMRkwFwYDVQQIDBBCYXllcm4g KEJhdmFyaWEpMRowGAYDVBQHDBFNdWVuY2hlbiAoTXVuaWNoKTEXMBUGA1UECgwO S2xhdXMgVGFjaHRsZXIxJzAdBgNVBAMMFmxkYXAuaWRtei50YWNodGxlci5uZXQx JjAkBgkqhkiG9w0BCQEWF2hvc3RtYXN1ZXJAdGFjaHRsZYIubmV0MIIBIjnNBgkq hkiG9w0BAQEFBAOCAQ8AMIIBCgKCAQEAxXpi/lXa/lzoL7AjYOo7FFUAysC6afrj To2mToF/tYr3U6Qy2mvRXyJmvIXGL3anhoIKa0yVcW/hlmP2M7rd/+4SDdJ4cnIc 1HI0fnVzG3F5CqbrIifpsVhfzr3INUr+z0yrXYNQ6DcCDXPjZzQICloeE74umPK FVCNE7pdeeCT8PfDg8DsngcdTVrxWW21wl/vTnJj2Jy+b1wAWUh4bUTFQnKh4We3 XspPCVUE1mQB6+njk8tegM5keMT6/o1CNcCDqqLI2dn8kYHzQOONPICShQ8ZQeng s6nCeHK4Rw0QVM550Be4Q1nEkxWvgEuOviziWj4Yu0epy9Vowuom0wIDAQABo3sw eTAJBgNVHRMEAjAAMCwGCWAGSAGG+EIBDQQfFh1PcGVuU1NMIEdlbmVyYXRlZCBD ZXJ0aWZpY2F0ZTAdBgNVHU4EFgQUV7OgU9km5Pw9Ac+C2Q8/TPOJqDcwHwYDVR0j BBgwFoAUBDzZ1H6IQ1Zbpm1wDCnLcdPmm1owDQYJKoZIhvcNAQELBQADggEBAIaz ZefQ9+QgY3vKWMHGM0aMqbYswdXip19ogMxH1zzpe+T3oXxErIonFxIBRhqapzjx F9UW3qVV9ZP2h0Ul7u7sMp/qrrcnOE37tEOmJ5+yAFe8z9FT/T3WSUJIuBhyUweC pN7HMPn12p/0IkAJ0KbpYEJFZ1k1F9xen9BBir33OSdyAuk9xQSO/qkR1NgWsaj1 HNZshEeeKZDSykEo3sbcvPnzi1O1b8645G2teH8gh3hjK4V4yoldnHuzqopLMFqj go5z+VYjK6V2Vm8cUgVIhtIV/Vbh62IhxRDwk63VhaJZ//jqs5t6O++KRWqi3vvt kwhvxeI3Kb5iGKZVyZE= -----END CERTIFICATE-----
HINWEIS - Bitte die Zeilennummer ggf. anpassen !!!
AuthLDAPURL
Dementsprechend kann nun die Direktive
AuthLDAPURL "ldap://ldap.idmz.tachtler.net:389/dc=tachtler,dc=net?uid"
wie folgt
AuthLDAPURL "ldaps://ldap.idmz.tachtler.net:636/dc=tachtler,dc=net?uid"
abgeändert werden und bestimmt nun
- LDAPS-Zugriffstyp - NEU:
ldaps
- LDAPS-Server-URL
- LDAPS-Server-Port - NEU: Port
636
- LDAP(S)-Eintrag im LDAP-Baum
- LDAP(S)-Eintrag Feld in dem der Benutzername steht
zur Überprüfung des Benutzernamens und des dazugehörigen Passwortes.
Neustart
Nach den vorangegangenen Konfigurationsschritten, sollte einem Neustart nichts im Wege stehen:
# systemctl restart httpd.service
HINWEIS - Es erfolgen keine weiteren Ausgaben, wenn der Start erfolgreich war !
Überprüfung
Der Aufruf z.B. der URL:
sollte nachfolgende Anzeige zum Vorschein bringen:
bevor die Seite tatsächlich angezeigt werden kann.