httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From "Dietrich, Martin" <dietrich....@pg.com>
Subject RE: FW: mod_auth_ldap
Date Fri, 04 Jan 2008 08:08:30 GMT
Hallo Falk,

Zunächst mal danke für die Antwort.
Die Trennung des Bindings nach ca. 5 Minuten macht der LDAP Server, dass hat auch ein kurzer
Test mit einem (Java-)LDAP Browser bestätigt.
Wenn ich da ein Binding mache und nach 5 Minuten Inaktivität ein Kommando ausführen will,
dann gibt's ein "[ERROR] connection closed".
Das würde ich aber nicht als Problem bezeichnen, eher als Nachvollziehbar - schließlich
läuft so ziemlich jede Authentifizierung darauf, da ist etwas Housekeeping ganz ok. (Es geht
um ca. 140.000 User und bestimmt Hunderte von Applikationen...) 
Für mich sieht es eben so aus, als das mod_auth_ldap diese Trennung nicht direkt mitbekommt.
Wenn ich es richtig verstanden habe, laufen die folgenden 3 Schritte bei der ersten Authentifizierung
ab:

1.) Binding mit statischem Account
	Im Logfile dazu leider keinerlei Einträge (LogLevel debug)
2.) Suche des Users (authenticate)
	[Fri Jan 04 08:45:19 2008] [debug] mod_auth_ldap.c(337): [client 143.39.217.53] [2732] auth_ldap
authenticate: using URL ldap://groupservice.firma.com:989/ou=people,ou=firma,o=world?extshortname
	[Fri Jan 04 08:45:20 2008] [debug] mod_auth_ldap.c(411): [client 143.39.217.53] [2732] auth_ldap
authenticate: accepting dietrich.m.3
3.) Binding mit User Credentials (authorize)
	[Fri Jan 04 08:45:20 2008] [debug] mod_auth_ldap.c(550): [client 143.39.217.53] [2732] auth_ldap
authorise: successful authorisation because user is valid-user

Bei allen folgenden (schätzungsweise innerhalb der in KeepAliveTimeout oder auch LDAPCacheTTL
definierten Zeitspanne) scheinen nur Schritte 2 und 3 zu laufen.

Nach besagten (ca.) 5 Minuten kommt dann sozusagen 

4.) Disconnect vom LDAP Server

Damit schlägt Punkt 2 (Suche des Users) also fehl, was mod_auth_ldap aber eben nicht veranlasst
ein neues Binding aufzubauen, sondern einen Fehler zu Produzieren: 

2.) Suche des Users (authenticate)
	[Fri Jan 04 08:53:53 2008] [debug] mod_auth_ldap.c(337): [client 143.39.217.53] [2732] auth_ldap
authenticate: using URL ldap://groupservice.firma.com:989/ou=people,ou=firma,o=world?extshortname
	[Fri Jan 04 08:53:53 2008] [warn] [client 143.39.217.53] [2732] auth_ldap authenticate: user
dietrich.m.3 authentication failed; URI /php/test/auth.gui [LDAP: ldap_simple_bind_s() failed][Unavailable]

Der Vollständigkeit halber hier noch die relevanten Loglines des Server Starts:
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(785): [3164] auth_ldap url parse: `ldap://groupservice.firma.com:989/ou=people,ou=firma,o=world?extshortname'
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(806): [3164] auth_ldap url parse: Host:
groupservice.firma.com
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(808): [3164] auth_ldap url parse: Port:
989
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(810): [3164] auth_ldap url parse: DN: ou=people,ou=firma,o=world
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(812): [3164] auth_ldap url parse: attrib:
extshortname
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(814): [3164] auth_ldap url parse: scope:
base
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(819): [3164] auth_ldap url parse: filter:
(null)
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(884): LDAP: auth_ldap not using SSL connections
[Fri Jan 04 08:44:44 2008] [debug] util_ldap.c(1501): LDAP merging Shared Cache conf: shm=0x59f5c0
rmm=0x59f5e8 for VHOST: server.firma.com
[Fri Jan 04 08:44:44 2008] [notice] LDAP: Built with Microsoft LDAP SDK
[Fri Jan 04 08:44:44 2008] [notice] LDAP: SSL support available
[Fri Jan 04 08:44:44 2008] [notice] Apache configured -- resuming normal operations


Regards,
Martin Dietrich

-----Original Message-----
From: Falk Hackenberger [mailto:apache@spam.huckley.de] 
Sent: Donnerstag, 3. Januar 2008 19:06
To: users-de@httpd.apache.org
Subject: Re: FW: mod_auth_ldap

Hallo Martin,

das der Ldap server das Problem ist, kanst Du ausschließen?

falk

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Mime
View raw message