Вопросы Теги

Сбои аутентификации LDAP с 500 или 401 в зависимости от связывают для Apache2

  • Имейте в распоряжении основательную стратегию резервного копирования заранее. Решите, собираетесь ли Вы создать резервную копию VM, как будто это было на чистом металле, или если Вы собираетесь резервировать виртуальные жесткие диски на хранилищах данных (или оба). Вообще говоря, я нашел, что мое необходимое резервное место увеличилось значительно сначала, так быть подготовленным к начальному скачку, где Вы могли бы резервировать и старую реальную машину и новый VM, прежде чем Вы получите все разработанные петли.
  • Разрастание VM - также что-то, чтобы не упустить. После того как виртуализация начинает взятие, желание переместиться, все к VM становится большим. В то время как это может работать, Вы, вероятно, не заказали точно достаточно аппаратных средств сразу.
  • Я думаю, что существуют машины, которые не могут быть преобразованы, и другие машины, которые, вероятно, не должны быть преобразованы. В то время как хорошо смочь взять 10-летнюю реальную машину и клонировать его к VM с бородавками и всеми, существуют, конечно, сценарии, где Вы были бы более обеспеченным зданием a
    уберите ОС и мигрирующие объекты от реальной машины. Иногда Вы более обеспечены не преобразование по паутине.
  • Будьте готовы использовать много сетевых портов. Если у Вас есть системы, которые работают на различных VLAN, в то время как единственные порты могли быть соединены магистралью, Вы, вероятно, хотите иметь отдельные порты для своих VLAN, питающихся в Ваш vSwitch. Если Вы хотите дублирование, и Вы используете iSCSI, Вы могли бы смотреть на большое количество NICs.
3
задан 3 November 2009 в 03:03
5 ответов

Turns out I was nearly there. I simply missed the AuthzLDAPAuthoritative off directive which is specific to my instance.

As a further note we also wanted to limit the repo to only identified users so we chained the authentication with a file as well. Example below:

RedirectMatch ^(/repos)$ $1/
LoadModule dav_svn_module     modules/mod_dav_svn.so
LoadModule authz_svn_module   modules/mod_authz_svn.so

<Location /repos/>
    DAV svn
    SVNParentPath /var/svn/repos
    SVNListParentPath On
    SVNAutoversioning On

    AuthType Basic
    AuthName "Subversion Repository"

    AuthBasicProvider file ldap
    AuthzLDAPAuthoritative off
    AuthLDAPBindDN "OU=Service Accounts,OU=User Accounts,DC=example,DC=com"
    AuthLDAPBindPassword xXxXxXx
    AuthLDAPUrl "ldap://ldap.example.com:389/OU=User Accounts,DC=example,DC=com?sAMAccountName?sub?(objectClass=user)"

    AuthzSVNAccessFile /etc/svn-authn
    SVNIndexXSLT "/styles/svnindexICore.xsl"
    AuthUserFile /etc/svn-auth-file 

    #AuthBasicProvider file ldap
    Require valid-user
</Location>
0
ответ дан 3 December 2019 в 07:19

Я не знаю о LDAP, поскольку я использовал автора SSPI для своей установки. Но я нашел эти страницы с хорошими деталями о конфигурации LDAP. (На всякий случай Вы еще не добрались до них):

http://blogs.open.collab.net/svn/2009/03/subversion-with-apache-and-ldap-updated.html

http://www.novell.com/communities/node/5679/installing-and-configuring-subversion-server-and-apache2-ldap-authentication-against-edire

Апачская версия, кажется, имеет значение к синтаксису.

Также порядок, в котором загружаются модули LDAP.

0
ответ дан 3 December 2019 в 07:19
  • 1
    Я нашел эти документы также. к сожалению, они didn' t обеспечивают любое понимание относительно базовой проблемы –  Erik 20 April 2010 в 20:37

Ваш LDAPUrl заставляет апача создать запрос: &(objectClass=user)(sAMAccountName=myuser)

И Ваш запрос командной строки: &(objectClass=user)(cn=myuser)

Какой корректен? Если Вы говорите, что Ваши тестовые работы командной строки хорошо, то Вам, вероятно, нужно:

AuthLDAPUrl "ldap://my.example.com:389/ou=User Accounts,dc=my,dc=example,dc=com?cn?sub?(objectClass=user)" NONE

0
ответ дан 3 December 2019 в 07:19
  • 1
    cn или SAMAccountName и доступны, и в случае нашей взаимозаменяемой сети. –  Erik 21 December 2009 в 20:45
  • 2
    Действительно ли можно ли получить доступ к AD журналам? Было бы хорошо противостоять тому, какой апач спрашивает AD. У меня есть подобная конфигурация с OpenLDAP, и это хорошо работает. Так проблема musy кладут где-то в другом месте. Возможно, некоторые расширения SE или sth? Возможно, апачский процесс не может открыть сокеты? Никакие другие идеи. –  silk 22 December 2009 в 01:30
  • 3
    Я говорил с администратором LDAP и ими couldn' t определяют что-либо в журналах. Также проблематичный соглашения об экземпляре LDAP с логинами почти из 13 000 учетных записей ежедневно. Общеизвестная игла. –  Erik 20 April 2010 в 20:38
  • 4
    Couldn' t определяют что-нибудь? Это кажется странным :) По крайней мере, он должен смочь сказать Вам, если apach, по крайней мере, соединяет, и позже что запрашивает, он выходит. –  silk 3 May 2010 в 23:39

У меня была такая же проблема. Идентичная конфигурация, которую я тестировал на Ubuntu, не работала на RHEL5. Я перешел с порта 389 на порт 3268 после прочтения этого , и это устранило мою проблему.

1
ответ дан 3 December 2019 в 07:19

Сравнивая вашу конфигурацию с рабочей конфигурацией с Active Directory в Apache 2.2.3, я вижу только следующие различия:

  • Я использую имя пользователя в стиле "DOMAIN \ sAMAccountName" для своего AuthLDAPBindDN
  • У меня нет NONE после моего AuthLDAPURL

Помимо этих предложений, я бы порекомендовал запустить tcpdump для разговора между Apache и Active Directory, чтобы узнать, что там происходит.

1
ответ дан 3 December 2019 в 07:19

Теги

Похожие вопросы