Authentification LDAP sur AD

Version imprimable

Bonjour,

Malgré la lecture des différentes discussion sur le sujet, je ne trouve pas de solution à mon pb d'authentification LDAP sur un AD.

Configuration Apache 2.2 avec les modules :
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
LoadModule ldap_module modules/mod_ldap.so

Ma ressource est protégée ainsi dans le httpd.conf :
Code:

1 2 3 4 5 6 7 8 9 <Location /protect> AuthType Basic AuthName "Acces restreint" AuthLDAPURL ldap://serveur.domaine.fr:389/ou=Utilisateurs,dc=domaine,dc=fr?cn?sub?(objectClass=user) AuthzLDAPAuthoritative on AuthLDAPBindDN "cn=xxxxx,ou=Comptes-Services,ou=Utilisateurs,dc=domaine,dc=fr" AuthLDAPBindPassword xxxxxx require valid-user </Location>
Lorsque j'accède à mon URL, le navigateur me demande bien l'authentification mais elle échoue systèmatiquement. Dans les log d'Apache j'ai "access to /protect/aidemdp.html failed, reason: verification of user id 'xxxxxx' not configured.

J'ai tout essayé, tout vérifié sur mon chemin LDAP. Dans une autre discussion, qlq'un semblait dire que l'on devrait mettre AuthLDAPBindDN et le AuthLDAPBindPassword dans le .htaccess mais les doc apache semblent dire la contraire.

Merci pour votre aide

23/01/2008, 17h10
_Mac_

Non, on peut mettre les 2 directives dans un .htaccess. Si ce n'était pas possible, Apache ralerait avec une erreur 500 : cette erreur ne trompe pas quand il y a qqch qui ne lui plait pas dans un .htaccess ;)

Le xxxxx que tu indiques dans ton message d'erreur, c'est le même que celui indiqué dans AuthLDAPBindDN ou c'est l'utilisateur avec lequel tu essaies de t'authentifier ?

EDIT : tiens, un truc que je viens de lire dans la doc Apache :

Citation:

Require valid-user

If this directive exists, mod_authnz_ldap grants access to any user that has successfully authenticated during the search/bind phase. Requires that mod_authz_user be loaded and that the AuthzLDAPAuthoritative directive be set to off.

or toi, tu as AuthzLDAPAuthoritative on et require valid-user. C'est peut-être ça le pb
24/01/2008, 09h56
tinweb

Sans succés

merci pour cette réponse

Je confirme que le xxxxx dans les log correspond au xxxxx tapé par l'utilsaiteur pour s'authentifier.

J'ai supprimé la directive : AuthzLDAPAuthoritative on
SAns résultat

J'ai mis AuthLDAPBindDN et AuthLDAPBindPassword dans le .htaccess mais sans résultat, toujours répétition de la demande d'authentification.

Comprend pas ou çà merde :cry::cry:
24/01/2008, 10h46
_Mac_

J'ai pas d'AD sous la main pour faire un test :( Tout ce que j'ai en stock c'est la doc Apache qui suggère un .htaccess plus simple que celui que tu as : tu l'as essayé ?

Sur le forum, j'ai vu d'autres configurations mais très proches de la tienne. La différence c'est que tu n'as pas de AuthLDAPEnabled on (essaie voir en rajoutant cette directive) et que la recherche des utilisateur se fait sur l'attribut sAMAccountName plutôt que le CN, c'est-à-dire que la directive AuthLDAPURL ressemblerait plutôt à celle-ci :

Code:

AuthLDAPURL ldap://serveur.domaine.fr:389/ou=Utilisateurs,dc=domaine,dc=fr?sAMAccountName?sub?(objectClass=user)
24/01/2008, 15h09
tinweb

Nouvelle Piste mais sans succès

Merci de m'avoir pointé la doc Apache sur le mode de connexion à un AD.
mais c'est pas mieux.

Concernant l'attribut sAMAccountName, il n'a pas lui d'être car dans mon AD il n'est pas renseigné, c'est le CN qui contiend l'identifiant.

J'ai aussi sniffé le réseau pour savoir si une requete LDAP partait du serveur Apache et je n'en vois pas et alors là je ne sais pas pourquoi.

merci de vos idées
24/01/2008, 15h34
_Mac_

T'as essayé en rajoutant "AuthLDAPEnabled on" dans ton .htaccess ?

Solution trouvée mais bizarre

Voila mon httpd.conf :
Code:

1 2 3 4 5 6 7 8 9 10 <Location /protect> AuthType Basic AuthName "Acces restreint" AuthBasicProvider ldap AuthLDAPURL ldap://chuinfw1.domaine:389/ou=Utilisateurs,dc=domaine,dc=priv?cn?sub?(objectClass=user) AuthLDAPBindDN "cn=svc-sat3,ou=Comptes-Services,ou=Utilisateurs,dc=chu-montpellier,dc=priv" AuthLDAPBindPassword xxxxxxx #Require valid-user (ne fonctionne pas ?????) Require ldap-attribute objectClass="user" </Location>
En fait j'ai rajouté la directive AuthBasicProvider ldap et charger le module mod_auth_basic.so. A ce niveau le bind s'effectuait mais je ne passais toujours pas.
J'ai donc mis un Require différent comme le ldap-attribut et là çà fonctionne.:yaisse2:

Mais si quelqu'un à une explication, çà m'interresse car c'est pas net comme solution.