Discussion :

[tinweb]

Bonjour,

Malgré la lecture des différentes discussion sur le sujet, je ne trouve pas de solution à mon pb d'authentification LDAP sur un AD.

Configuration Apache 2.2 avec les modules :
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
LoadModule ldap_module modules/mod_ldap.so

Ma ressource est protégée ainsi dans le httpd.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<Location /protect>
	AuthType Basic
	AuthName "Acces restreint"
	AuthLDAPURL ldap://serveur.domaine.fr:389/ou=Utilisateurs,dc=domaine,dc=fr?cn?sub?(objectClass=user)
	AuthzLDAPAuthoritative on
	AuthLDAPBindDN "cn=xxxxx,ou=Comptes-Services,ou=Utilisateurs,dc=domaine,dc=fr"
	AuthLDAPBindPassword xxxxxx
	require valid-user
</Location>

Lorsque j'accède à mon URL, le navigateur me demande bien l'authentification mais elle échoue systèmatiquement. Dans les log d'Apache j'ai "access to /protect/aidemdp.html failed, reason: verification of user id 'xxxxxx' not configured.

J'ai tout essayé, tout vérifié sur mon chemin LDAP. Dans une autre discussion, qlq'un semblait dire que l'on devrait mettre AuthLDAPBindDN et le AuthLDAPBindPassword dans le .htaccess mais les doc apache semblent dire la contraire.

Merci pour votre aide

[_Mac_]

Non, on peut mettre les 2 directives dans un .htaccess. Si ce n'était pas possible, Apache ralerait avec une erreur 500 : cette erreur ne trompe pas quand il y a qqch qui ne lui plait pas dans un .htaccess

Le xxxxx que tu indiques dans ton message d'erreur, c'est le même que celui indiqué dans AuthLDAPBindDN ou c'est l'utilisateur avec lequel tu essaies de t'authentifier ?

EDIT : tiens, un truc que je viens de lire dans la doc Apache :

Require valid-user

If this directive exists, mod_authnz_ldap grants access to any user that has successfully authenticated during the search/bind phase. Requires that mod_authz_user be loaded and that the AuthzLDAPAuthoritative directive be set to off.

or toi, tu as AuthzLDAPAuthoritative on et require valid-user. C'est peut-être ça le pb

[tinweb]

merci pour cette réponse

Je confirme que le xxxxx dans les log correspond au xxxxx tapé par l'utilsaiteur pour s'authentifier.

J'ai supprimé la directive : AuthzLDAPAuthoritative on
SAns résultat

J'ai mis AuthLDAPBindDN et AuthLDAPBindPassword dans le .htaccess mais sans résultat, toujours répétition de la demande d'authentification.

Comprend pas ou çà merde

[_Mac_]

J'ai pas d'AD sous la main pour faire un test Tout ce que j'ai en stock c'est la doc Apache qui suggère un .htaccess plus simple que celui que tu as : tu l'as essayé ?

Sur le forum, j'ai vu d'autres configurations mais très proches de la tienne. La différence c'est que tu n'as pas de AuthLDAPEnabled on (essaie voir en rajoutant cette directive) et que la recherche des utilisateur se fait sur l'attribut sAMAccountName plutôt que le CN, c'est-à-dire que la directive AuthLDAPURL ressemblerait plutôt à celle-ci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

AuthLDAPURL ldap://serveur.domaine.fr:389/ou=Utilisateurs,dc=domaine,dc=fr?sAMAccountName?sub?(objectClass=user)

[tinweb]

Merci de m'avoir pointé la doc Apache sur le mode de connexion à un AD.
mais c'est pas mieux.

Concernant l'attribut sAMAccountName, il n'a pas lui d'être car dans mon AD il n'est pas renseigné, c'est le CN qui contiend l'identifiant.

J'ai aussi sniffé le réseau pour savoir si une requete LDAP partait du serveur Apache et je n'en vois pas et alors là je ne sais pas pourquoi.

merci de vos idées

[_Mac_]

T'as essayé en rajoutant "AuthLDAPEnabled on" dans ton .htaccess ?

[tinweb]

Voila mon httpd.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<Location /protect>
	AuthType Basic
	AuthName "Acces restreint"
	AuthBasicProvider ldap
	AuthLDAPURL ldap://chuinfw1.domaine:389/ou=Utilisateurs,dc=domaine,dc=priv?cn?sub?(objectClass=user)
	AuthLDAPBindDN "cn=svc-sat3,ou=Comptes-Services,ou=Utilisateurs,dc=chu-montpellier,dc=priv"
	AuthLDAPBindPassword xxxxxxx
#Require valid-user  (ne fonctionne pas ?????)
Require ldap-attribute objectClass="user"
</Location>

En fait j'ai rajouté la directive AuthBasicProvider ldap et charger le module mod_auth_basic.so. A ce niveau le bind s'effectuait mais je ne passais toujours pas.
J'ai donc mis un Require différent comme le ldap-attribut et là çà fonctionne.

Mais si quelqu'un à une explication, çà m'interresse car c'est pas net comme solution.