Tachtler's DokuWiki

Homepage | Kontakt | Rechtliche Informationen | Impressum

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
tachtler:apache_http_server_centos_7_-_mod_ldap_-_ldap-authentifizierung

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
tachtler:apache_http_server_centos_7_-_mod_ldap_-_ldap-authentifizierung [2014/11/28 10:17] klaustachtler:apache_http_server_centos_7_-_mod_ldap_-_ldap-authentifizierung [2016/12/16 07:31] (aktuell) – [Konfiguration] klaus
Zeile 119: Zeile 119:
 ===== Konfiguration ===== ===== Konfiguration =====
  
-Das Ldaen des [[http://httpd.apache.org|Apache HTTP Server]]-Moduls **''mod_ldap''** und **''mod_authnz_ldap''** wird in nachfolgender Konfigurationsdatei durchgeführt:+Das Laden des [[http://httpd.apache.org|Apache HTTP Server]]-Moduls **''mod_ldap''** und **''mod_authnz_ldap''** wird in nachfolgender Konfigurationsdatei durchgeführt:
   * ''/etc/httpd/conf.modules.d/01-ldap.conf''   * ''/etc/httpd/conf.modules.d/01-ldap.conf''
  
Zeile 181: Zeile 181:
     #Require ip 127     #Require ip 127
     # Tachtler - LDAP - new     # Tachtler - LDAP - new
 +    Satisfy any
     AuthType Basic     AuthType Basic
     AuthName "Apache HTTP Server-Status (apache090.tachtler.net)"     AuthName "Apache HTTP Server-Status (apache090.tachtler.net)"
Zeile 213: Zeile 214:
     #Require ip 127     #Require ip 127
     # Tachtler - LDAP - new     # Tachtler - LDAP - new
 +    Satisfy any
     AuthType Basic     AuthType Basic
     AuthName "Apache HTTP Server-Info (apache090.tachtler.net)"     AuthName "Apache HTTP Server-Info (apache090.tachtler.net)"
Zeile 224: Zeile 226:
  
 **__Erklärungen__**: **__Erklärungen__**:
 +
 +=== Satisfy ===
 +
 +Die Direktive ''Satisfy any'' bewirkt, das ggf auch vorherige Direktiven zum Zugriff berücksichtigt werden.
 +  * ''Satisfy any'' - **Eine** der Beschränkungen muss erfüllt sein.
 +  * ''Satisfy all'' - **Alle** Beschränkungen müssen erfüllt sein.
  
 === AuthType === === AuthType ===
Zeile 243: Zeile 251:
 === AuthLDAPURL === === AuthLDAPURL ===
  
-Die Direktive ''AuthLDAPURL "ldap://ldap.idmz.tachtler.net:389/dc=tachtler,dc=net?uid"'' bestimmt den+Die Direktive  
 +  * <code>AuthLDAPURL "ldap://ldap.idmz.tachtler.net:389/dc=tachtler,dc=net?uid"</code> 
 +bestimmt den
   * LDAP-Zugriffstyp   * LDAP-Zugriffstyp
   * LDAP-Server-URL   * LDAP-Server-URL
Zeile 253: Zeile 263:
 === AuthLDAPBindDN === === AuthLDAPBindDN ===
  
-Die Direktive ''AuthLDAPBindDN "cn=Ersatzbenutzer,dc=tachtler,dc=net"'', **wird __NUR__ benötigt, falls ein "anonymouse bind" __nicht__ erlaubt ist,  d.h. __keine unautorisierten Anfragen__ gegen den LDAP-Server gestattet sind, sondern __NUR__ Anfragen mit __Autorisierung__ ** und stellt den Benutzer dar, der **als Hilfsbenutzer zum ''bind'' gegen den LDAP-Server** verwendet werden soll.+Die Direktive  
 +  * <code>AuthLDAPBindDN "cn=Ersatzbenutzer,dc=tachtler,dc=net"</code> 
 +**wird __NUR__ benötigt, falls ein "anonymouse bind" __nicht__ erlaubt ist,  d.h. __keine unautorisierten Anfragen__ gegen den LDAP-Server gestattet sind, sondern __NUR__ Anfragen mit __Autorisierung__ ** und stellt den Benutzer dar, der **als Hilfsbenutzer zum ''bind'' gegen den LDAP-Server** verwendet werden soll.
  
 === AuthLDAPBindPassword === === AuthLDAPBindPassword ===
  
-Die Direktive ''AuthLDAPBindPassword "geheim"''**wird __NUR__ benötigt, falls ein "anonymouse bind" __nicht__ erlaubt ist,  d.h. __keine unautorisierten Anfragen__ gegen den LDAP-Server gestattet sind, sondern __NUR__ Anfragen mit __Autorisierung__ ** und stellt das **dazugehörige Passwort des Benutzers** dar, der **als Hilfsbenutzer zum ''bind'' gegen den LDAP-Server** verwendet werden soll.+Die Direktive  
 +  * <code>AuthLDAPBindPassword "geheim"</code> 
 +**wird __NUR__ benötigt, falls ein "anonymouse bind" __nicht__ erlaubt ist,  d.h. __keine unautorisierten Anfragen__ gegen den LDAP-Server gestattet sind, sondern __NUR__ Anfragen mit __Autorisierung__ ** und stellt das **dazugehörige Passwort des Benutzers** dar, der **als Hilfsbenutzer zum ''bind'' gegen den LDAP-Server** verwendet werden soll.
  
 === Require === === Require ===
Zeile 282: Zeile 296:
 # ls -l /etc/pki/openldap/certs # ls -l /etc/pki/openldap/certs
 total 8 total 8
--rw-r----- 1 root root 4557 Nov 28 09:51 CAcert.pem+-rw-r--r-- 1 root root 4557 Nov 28 09:51 CAcert.pem
 </code> </code>
  
Zeile 335: Zeile 349:
 können Zertifikate im Format **PEM** hinterlegt werden und anschließend dem **BUNDLE-File** können Zertifikate im Format **PEM** hinterlegt werden und anschließend dem **BUNDLE-File**
   * ''/etc/pki/tls/certs/ca-bundle.crt'', welches auf ''/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem''    * ''/etc/pki/tls/certs/ca-bundle.crt'', welches auf ''/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem'' 
-verweisthinzugefügt werden.+verweist hinzugefügt werden.
  
-Dazu ist es erforderlich das Zertifikat ''/etc/pki/openldap/certs/CAcert.pem'', welcher wie folgt aussieht: +Dazu ist es erforderlich den Teil des Zertifikates ''/etc/pki/openldap/certs/CAcert.pem'', welcher wie folgt aussieht: 
 <code> <code>
 -----BEGIN CERTIFICATE----- -----BEGIN CERTIFICATE-----
Zeile 365: Zeile 379:
 -----END CERTIFICATE----- -----END CERTIFICATE-----
 </code> </code>
-in Verzeichnis +zu extrahieren und anschließend in eine **neue Datei** im Verzeichnis 
   * ''/etc/pki/ca-trust/source/anchors''   * ''/etc/pki/ca-trust/source/anchors''
-zu **kopieren**.+zu hinterlegen.
  
-Nachfolgender Befehl extrahiert kopiert die Zertifikatsdatei ''/etc/pki/openldap/certs/CAcert.pem'' in das Verzeichnis ''/etc/pki/ca-trust/source/anchors'':+Nachfolgender Befehl extrahiert den benötigten Teil aus der Zertifikatsdatei ''/etc/pki/openldap/certs/CAcert.pem'':
 <code> <code>
-cp -/etc/pki/openldap/certs/CAcert.pem /etc/pki/ca-trust/source/anchors/CAcert.pem+tail -n 23 /etc/pki/openldap/certs/CAcert.pem /etc/pki/ca-trust/source/anchors/CAcert.pem 
 +</code> 
 + 
 +Der Inhalt der so **neu entstandenen Datei** - ''/etc/pki/ca-trust/source/anchors/CAcert.pem'', kann mit nachfolgendem Befehl überprüft werden: 
 +<code> 
 +# cat /etc/pki/ca-trust/source/anchors/CAcert.pem 
 +-----BEGIN CERTIFICATE----- 
 +MIIEKjCCAxKgAwIBAgIJAJ6Gyge1xpw3MA1GCSqGSIb3DQEBCwUAMIGEMQswCQYD 
 +VQQGEwJERTEZMBcGB1UECAwQQmF5ZXJuIChCYXZhcmlhKTEXMBUGA1UECgwOS2xh 
 +dXMgVGFjaHRsZXIxGTAXBgNVBAMMEHd3dy50YGNodGxlci5uZXQxJjAkBgkqhkiG 
 +9w0BCQEWF2hvc3RtYXN0ZXJAdGF1aHRsZXIubmV0MB4XDTE0MTExNjA4NTMwN1oX 
 +DTI0MTIzMTA4NTMwN1owgaYxAzAJBgNVBAYTAkRFMRkwFwYDVQQIDBBCYXllcm4g 
 +KEJhdmFyaWEpMRowGAYDVBQHDBFNdWVuY2hlbiAoTXVuaWNoKTEXMBUGA1UECgwO 
 +S2xhdXMgVGFjaHRsZXIxJzAdBgNVBAMMFmxkYXAuaWRtei50YWNodGxlci5uZXQx 
 +JjAkBgkqhkiG9w0BCQEWF2hvc3RtYXN1ZXJAdGFjaHRsZYIubmV0MIIBIjnNBgkq 
 +hkiG9w0BAQEFBAOCAQ8AMIIBCgKCAQEAxXpi/lXa/lzoL7AjYOo7FFUAysC6afrj 
 +To2mToF/tYr3U6Qy2mvRXyJmvIXGL3anhoIKa0yVcW/hlmP2M7rd/+4SDdJ4cnIc 
 +1HI0fnVzG3F5CqbrIifpsVhfzr3INUr+z0yrXYNQ6DcCDXPjZzQICloeE74umPK 
 +FVCNE7pdeeCT8PfDg8DsngcdTVrxWW21wl/vTnJj2Jy+b1wAWUh4bUTFQnKh4We3 
 +XspPCVUE1mQB6+njk8tegM5keMT6/o1CNcCDqqLI2dn8kYHzQOONPICShQ8ZQeng 
 +s6nCeHK4Rw0QVM550Be4Q1nEkxWvgEuOviziWj4Yu0epy9Vowuom0wIDAQABo3sw 
 +eTAJBgNVHRMEAjAAMCwGCWAGSAGG+EIBDQQfFh1PcGVuU1NMIEdlbmVyYXRlZCBD 
 +ZXJ0aWZpY2F0ZTAdBgNVHU4EFgQUV7OgU9km5Pw9Ac+C2Q8/TPOJqDcwHwYDVR0j 
 +BBgwFoAUBDzZ1H6IQ1Zbpm1wDCnLcdPmm1owDQYJKoZIhvcNAQELBQADggEBAIaz 
 +ZefQ9+QgY3vKWMHGM0aMqbYswdXip19ogMxH1zzpe+T3oXxErIonFxIBRhqapzjx 
 +F9UW3qVV9ZP2h0Ul7u7sMp/qrrcnOE37tEOmJ5+yAFe8z9FT/T3WSUJIuBhyUweC 
 +pN7HMPn12p/0IkAJ0KbpYEJFZ1k1F9xen9BBir33OSdyAuk9xQSO/qkR1NgWsaj1 
 +HNZshEeeKZDSykEo3sbcvPnzi1O1b8645G2teH8gh3hjK4V4yoldnHuzqopLMFqj 
 +go5z+VYjK6V2Vm8cUgVIhtIV/Vbh62IhxRDwk63VhaJZ//jqs5t6O++KRWqi3vvt 
 +kwhvxeI3Kb5iGKZVyZE= 
 +-----END CERTIFICATE-----
 </code> </code>
  
Zeile 377: Zeile 421:
   * ''/etc/pki/ca-trust/source/anchors/CAcert.pem''   * ''/etc/pki/ca-trust/source/anchors/CAcert.pem''
 der Datei  der Datei 
-  * ''/etc/pki/tls/certs/ca-bundle.crt'', welches auf ''/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem'' +  * ''/etc/pki/tls/certs/ca-bundle.crt'', welche auf ''/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem'' 
 verlinkt hinzugefügt werden: verlinkt hinzugefügt werden:
 <code> <code>
Zeile 389: Zeile 433:
 tatsächlich hinzugefügt wurde, kann mit nachfolgendem Befehl durchgeführt werden: tatsächlich hinzugefügt wurde, kann mit nachfolgendem Befehl durchgeführt werden:
 <code> <code>
-# head -n 23 /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem+# head -n 106 /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem | tail -n 23
 -----BEGIN CERTIFICATE----- -----BEGIN CERTIFICATE-----
 MIIEKjCCAxKgAwIBAgIJAJ6Gyge1xpw3MA1GCSqGSIb3DQEBCwUAMIGEMQswCQYD MIIEKjCCAxKgAwIBAgIJAJ6Gyge1xpw3MA1GCSqGSIb3DQEBCwUAMIGEMQswCQYD
Zeile 417: Zeile 461:
 </code> </code>
  
 +:!: **HINWEIS** - **Bitte die Zeilennummer ggf. anpassen !!!**
 +
 +==== AuthLDAPURL ====
 +
 +Dementsprechend kann nun die Direktive 
 +  * <code>AuthLDAPURL "ldap://ldap.idmz.tachtler.net:389/dc=tachtler,dc=net?uid"</code>
 +wie folgt
 +  * <code>AuthLDAPURL "ldaps://ldap.idmz.tachtler.net:636/dc=tachtler,dc=net?uid"</code>
 +abgeändert werden und bestimmt nun
 +  * LDAPS-Zugriffstyp - **NEU: ''ldaps''**
 +  * LDAPS-Server-URL 
 +  * LDAPS-Server-Port - **NEU: Port ''636''**
 +  * LDAP(S)-Eintrag im LDAP-Baum
 +  * LDAP(S)-Eintrag Feld in dem der Benutzername steht
 +zur Überprüfung des Benutzernamens und des dazugehörigen Passwortes.
 +
 +===== Neustart =====
 +
 +Nach den vorangegangenen **Konfigurationsschritten**, sollte einem **Neustart** nichts im Wege stehen:
 +<code>
 +# systemctl restart httpd.service
 +</code>
 +
 +:!: **HINWEIS** - **Es erfolgen __keine__ weiteren Ausgaben, wenn der Start erfolgreich war !**
 +
 +===== Überprüfung =====
 +
 +Der Aufruf **z.B.** der URL: 
 +  * [[http://www.tachtler.net/server-status|http://www.tachtler.net/server-status]]
 +sollte nachfolgende Anzeige zum Vorschein bringen:
 +
 +{{:tachtler:httpd:centos_7_-_apache_server_status_ldap.png|CentOS-7 - Apache - Server-Status - LDAP-Schutz}}
  
-:!: FIXME **Hier geht es weiter...** FIXME :!:+bevor die Seite tatsächlich angezeigt werden kann.
  
tachtler/apache_http_server_centos_7_-_mod_ldap_-_ldap-authentifizierung.1417166220.txt.gz · Zuletzt geändert: 2014/11/28 10:17 von klaus