Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:apache_http_server_centos_7_-_mod_ldap_-_ldap-authentifizierung [2014/11/28 10:30] – [/etc/pki/tls/certs/ca-bundle.crt] klaus
+++ tachtler:apache_http_server_centos_7_-_mod_ldap_-_ldap-authentifizierung [2016/12/16 07:31] (aktuell) – [Konfiguration] klaus
@@ Zeile 119: / Zeile 119: @@
 ===== Konfiguration =====
-Das Ldaen des [[http://httpd.apache.org|Apache HTTP Server]]-Moduls **''mod_ldap''** und **''mod_authnz_ldap''** wird in nachfolgender Konfigurationsdatei durchgeführt:
+Das Laden des [[http://httpd.apache.org|Apache HTTP Server]]-Moduls **''mod_ldap''** und **''mod_authnz_ldap''** wird in nachfolgender Konfigurationsdatei durchgeführt:
   * ''/etc/httpd/conf.modules.d/01-ldap.conf''
@@ Zeile 181: / Zeile 181: @@
     #Require ip 127
     # Tachtler - LDAP - new
+    Satisfy any
     AuthType Basic
     AuthName "Apache HTTP Server-Status (apache090.tachtler.net)"
@@ Zeile 213: / Zeile 214: @@
     #Require ip 127
     # Tachtler - LDAP - new
+    Satisfy any
     AuthType Basic
     AuthName "Apache HTTP Server-Info (apache090.tachtler.net)"
@@ Zeile 224: / Zeile 226: @@
 **__Erklärungen__**:
+=== Satisfy ===
+Die Direktive ''Satisfy any'' bewirkt, das ggf auch vorherige Direktiven zum Zugriff berücksichtigt werden.
+  * ''Satisfy any'' - **Eine** der Beschränkungen muss erfüllt sein.
+  * ''Satisfy all'' - **Alle** Beschränkungen müssen erfüllt sein.
 === AuthType ===
@@ Zeile 243: / Zeile 251: @@
 === AuthLDAPURL ===
-Die Direktive ''AuthLDAPURL "ldap://ldap.idmz.tachtler.net:389/dc=tachtler,dc=net?uid"'' bestimmt den
+Die Direktive
+  * <code>AuthLDAPURL "ldap://ldap.idmz.tachtler.net:389/dc=tachtler,dc=net?uid"</code>
+bestimmt den
   * LDAP-Zugriffstyp
   * LDAP-Server-URL
@@ Zeile 253: / Zeile 263: @@
 === AuthLDAPBindDN ===
-Die Direktive ''AuthLDAPBindDN "cn=Ersatzbenutzer,dc=tachtler,dc=net"'', **wird __NUR__ benötigt, falls ein "anonymouse bind" __nicht__ erlaubt ist,  d.h. __keine unautorisierten Anfragen__ gegen den LDAP-Server gestattet sind, sondern __NUR__ Anfragen mit __Autorisierung__ ** und stellt den Benutzer dar, der **als Hilfsbenutzer zum ''bind'' gegen den LDAP-Server** verwendet werden soll.
+Die Direktive
+  * <code>AuthLDAPBindDN "cn=Ersatzbenutzer,dc=tachtler,dc=net"</code>
+**wird __NUR__ benötigt, falls ein "anonymouse bind" __nicht__ erlaubt ist,  d.h. __keine unautorisierten Anfragen__ gegen den LDAP-Server gestattet sind, sondern __NUR__ Anfragen mit __Autorisierung__ ** und stellt den Benutzer dar, der **als Hilfsbenutzer zum ''bind'' gegen den LDAP-Server** verwendet werden soll.
 === AuthLDAPBindPassword ===
-Die Direktive ''AuthLDAPBindPassword "geheim"'' , **wird __NUR__ benötigt, falls ein "anonymouse bind" __nicht__ erlaubt ist,  d.h. __keine unautorisierten Anfragen__ gegen den LDAP-Server gestattet sind, sondern __NUR__ Anfragen mit __Autorisierung__ ** und stellt das **dazugehörige Passwort des Benutzers** dar, der **als Hilfsbenutzer zum ''bind'' gegen den LDAP-Server** verwendet werden soll.
+Die Direktive
+  * <code>AuthLDAPBindPassword "geheim"</code>
+**wird __NUR__ benötigt, falls ein "anonymouse bind" __nicht__ erlaubt ist,  d.h. __keine unautorisierten Anfragen__ gegen den LDAP-Server gestattet sind, sondern __NUR__ Anfragen mit __Autorisierung__ ** und stellt das **dazugehörige Passwort des Benutzers** dar, der **als Hilfsbenutzer zum ''bind'' gegen den LDAP-Server** verwendet werden soll.
 === Require ===
@@ Zeile 328: / Zeile 342: @@
 Um das Zertifikat
-  * ''/etc/pki/openldap/certs/CAcert.crt''
+  * ''/etc/pki/openldap/certs/CAcert.pem''
 auch im System zu hinterlegen, sind nachfolgende Tätigkeiten erforderlich.
@@ Zeile 337: / Zeile 351: @@
 verweist hinzugefügt werden.
-Dazu ist es erforderlich den Teil des Zertifikates ''/etc/pki/openldap/certs/CAcert.crt'', welcher wie folgt aussieht:
+Dazu ist es erforderlich den Teil des Zertifikates ''/etc/pki/openldap/certs/CAcert.pem'', welcher wie folgt aussieht:
 <code>
 -----BEGIN CERTIFICATE-----
@@ Zeile 369: / Zeile 383: @@
 zu hinterlegen.
-Nachfolgender Befehl extrahiert den benötigten Teil aus der Zertifikatsdatei ''/etc/pki/openldap/certs/CAcert.crt'':
+Nachfolgender Befehl extrahiert den benötigten Teil aus der Zertifikatsdatei ''/etc/pki/openldap/certs/CAcert.pem'':
 <code>
 # tail -n 23 /etc/pki/openldap/certs/CAcert.pem > /etc/pki/ca-trust/source/anchors/CAcert.pem
@@ Zeile 449: / Zeile 463: @@
 :!: **HINWEIS** - **Bitte die Zeilennummer ggf. anpassen !!!**
-:!: FIXME **Hier geht es weiter...** FIXME :!:
+==== AuthLDAPURL ====
+Dementsprechend kann nun die Direktive
+  * <code>AuthLDAPURL "ldap://ldap.idmz.tachtler.net:389/dc=tachtler,dc=net?uid"</code>
+wie folgt
+  * <code>AuthLDAPURL "ldaps://ldap.idmz.tachtler.net:636/dc=tachtler,dc=net?uid"</code>
+abgeändert werden und bestimmt nun
+  * LDAPS-Zugriffstyp - **NEU: ''ldaps''**
+  * LDAPS-Server-URL
+  * LDAPS-Server-Port - **NEU: Port ''636''**
+  * LDAP(S)-Eintrag im LDAP-Baum
+  * LDAP(S)-Eintrag Feld in dem der Benutzername steht
+zur Überprüfung des Benutzernamens und des dazugehörigen Passwortes.
+===== Neustart =====
+Nach den vorangegangenen **Konfigurationsschritten**, sollte einem **Neustart** nichts im Wege stehen:
+<code>
+# systemctl restart httpd.service
+</code>
+:!: **HINWEIS** - **Es erfolgen __keine__ weiteren Ausgaben, wenn der Start erfolgreich war !**
+===== Überprüfung =====
+Der Aufruf **z.B.** der URL:
+  * [[http://www.tachtler.net/server-status|http://www.tachtler.net/server-status]]
+sollte nachfolgende Anzeige zum Vorschein bringen:
+{{:tachtler:httpd:centos_7_-_apache_server_status_ldap.png|CentOS-7 - Apache - Server-Status - LDAP-Schutz}}
+bevor die Seite tatsächlich angezeigt werden kann.