httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Boris Glawe <bo...@boris-glawe.de>
Subject Authentifizierung bei ADS mit sehr großer Benutzerdatenbank
Date Tue, 24 May 2005 21:58:06 GMT
Hallo,

wir haben einen ADS mit einem Umfang von mehreren tausend 
Benutzern/Einträgen.

Ich versuche nun unter Linux einen Apache aufzusetzen, der sich bei 
diesem ADS authentifiziert. Genauer: es soll ein Subversionserver sein, 
der über WebDAV/Apache/mod_dav_svn den Zugriff auf Repositories erlaubt.

Es müssen grundsätzlich alle Benutzer die Möglichkeit haben, sich zu 
authentifizieren. Wer auf ein bestimmtes Repository, also ein bestimmtes 
Verzeichnis zugreifen darf, bestimmt deren Gruppenzugehörigkeit.

Dazu muss ich (korrigiert mich, wenn ihr andere Vorschläge habt)

- als AuthLDAPUrl den Knoten angeben, der alle Benutzer unter sich hat
- die Direktive "require group" auf den DN der Gruppe setzen.

Jetzt passiert folgendes: Setze ich die AuthLDAPUrl auf einen Teilbaum, 
der nur ca. 45 Einträge hat, dann funktioniert alles, wie es soll.
Setze ich diese Direktive wieder auf die "Wurzel", dann klappt nichts mehr.

Ich habe mit dem Tool ldapsearch, welches mit openldap mitgeliefert 
wird, einfach mal eine Suche ohne Filter auf der "Wurzel" des 
Verzeichnisses gestartet. Das auffällige ist, dass genau 1000 Einträge 
geliefert werden - der Server schneidet also nach 1000 Einträgen ab.
(siehe auch: 
http://support.microsoft.com/default.aspx?scid=kb;en-us;315071&sd=tech#XSLTH3129121122120121120120
unter den Stichwort "maxPageSize")

Es ist sehr wahrscheinlich, dass hier die Ursache für unser Problem zu 
suchen ist. Allerdings finde ich nirgendwo eine Lösung zu unserem Problem.


Ich habe versucht, mit der Direktive

require ldap-attribute memberOf="CN=testgroup,OU=test,DC=ourdomain,DC=de"

den Umfang der Ergebnisse einzuschränken, aber leider nicht mit Erfolg. 
Mache ich dasselbe mit ldapsearch werden zwar nur noch wenige Einträge 
geliefert, aber apache verweigert mit dem diesem Ansatz die 
Authentifzierung (wobei ich hier nicht weiß, warum und auch nicht weiß, 
wie apache diese Direktive in eine Suchabfrage übersetzt).

Der Vollständigkeit halber hier die Fehlermeldung, wie sie in 
/var/log/httpd/ssl_error_log zu finden ist (privates ausgestrichen):

[Tue May 24 23:12:37 2005] [warn] [client xxx.xxx.xxx.xxx] [25000] 
auth_ldap authenticate: user testuser authentication failed; URI 
/xxxxx/xxxxx [ldap_search_ext_s() for user failed][Operations error]

Eine Lösung wäre, die maximale Anzahl an Antworten hochzusetzen, da aber 
unser Verzeichnis weit mehr als 1000 Einträge hat, ist das nicht 
unbedingt das gelbe vom Ei.

Ich bin sehr dankbar für jeden Hinweis und jede Idee, die ihr habt !!

Viele Grüße

Boris


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message