Forum Coders' city Strona Główna Coders' city
Nasza pasja to programowanie!
 

 PomocPomoc   SzukajSzukaj   UżytkownicyUżytkownicy   GrupyGrupy  RejestracjaRejestracja 
Archiwum starego forum + teoria    RSS & Panel/SideBar
 ProfilProfil   Zaloguj się, by sprawdzić wiadomościZaloguj się, by sprawdzić wiadomości   ZalogujZaloguj 

Potrzebuję szybkiej odpowiedzi na moje pytanie... Zasady

[Apache 2.2] Htaccess - autoryzacja w AD a LDAPTrustedGlobalCert



 
Odpowiedz do tematu    Forum Coders' city Strona Główna -> Webmasterstwo
Zobacz poprzedni temat :: Zobacz następny temat  
Autor Wiadomość
Wormsek



Dołączył: 25 Cze 2013
Posty: 4
Skąd: Z nienacka

PostWysłany: Pią Gru 19, 2014 10:38 am  OP    Temat postu: [Apache 2.2] Htaccess - autoryzacja w AD a LDAPTrustedGlobalCert Odpowiedz z cytatem Pisownia

Hej,

Z tematu tego jestem kompletnie zielony, więc mam nadzieję, że jakoś uda mi się problem wytłumaczyć.
(rozwiązanie nie ja tworzyłem, więc nie strzelać do posłańca ;))

W pracy mamy stronę opartą na php i stojącą na Apache 2.2. Apache ten jest zainstalowany na serwerze Windows.
Aby dostać się do strony, użytkownik musi się zalogować. Z tego co się dogrzebałem, ustawione jest to w pliku .htaccess a wygląda to tak:
Kod:
# Bind
AuthLDAPBindDN "CN=<generic user>,OU=Generics,OU=MyDomain Users,DC=<myDC>,DC=com"
AuthLDAPBindPassword "asd"
AuthzLDAPAuthoritative off

# search user
AuthLDAPURL "ldaps://<serveraddress>:636/ou=Employees,ou=my Domain Users,dc=<mydc>,dc=com?cn?sub"
AuthType Basic
AuthName "USE YOUR WINDOWS ACCOUNT"
AuthBasicProvider ldap

AuthUserFile /dev/null
require valid-user
Require ldap-group CN=<generic user>,OU=Mailer,OU=Cisco Groups,DC=<myDC>,DC=com
Satisfy all

AddType application/x-httpd-php .js


I teraz z góry w firmie dostaliśmy polecenie, aby zacząć używać nowego certyfikatu, który jest w formacie .pem.

Napisali mi prostą instrukcję ;)
Skopiować plik i zmienić 3 linijki w pliku http.conf.

I tu pojawia się problem, te 3 linijki do podmiany to:
Kod:
LDAPTrustedGlobalCert CA_BASE64 /<path to>/file.pem
AuthLDAPURL "ldaps://<newserver>:636/OU=myDomain Users,dc=stage,DC=myDC,DC=com?cn?sub"
AuthLDAPBindDN "CN=<generic user>,OU=Generics,OU=myDomain Users,DC=stage,DC=myDC ,DC=com"



2 z tych linijek, czyli AuthLDAPURL i AuthLDAPBindDN podmieniłem już w htaccess.
Jednak nigdzie nie mogę znaleźć, gdzie mam wrzucić to LDAPTrustedGlobalCert.

Na tą chwilę podmieniam więc te 2 linijki i jak próbuję się zalogować na stronę, to w logach Apache mam info, że:
Cytat:
user Wormsek: authentication failure for "/": Password Mismatch


Może ktoś poradzić, co dalej? Bo lekko utknąłem :(

_________________
Pozdro
Worm


Ostatnio zmieniony przez Wormsek dnia Pią Gru 19, 2014 11:19 am, w całości zmieniany 2 razy
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
marcin_an
Site Admin


Dołączył: 26 Maj 2005
Posty: 18767

PostWysłany: Pią Gru 19, 2014 11:05 am      Temat postu: Re: [Apache 2.2] htaccess - autoryzacja w AD a LDAPTrustedGlobalCert Odpowiedz z cytatem Pisownia

Wormsek napisał:
Napisali mi prostą instrukcję ;)
Skopiować plik i zmienić 3 linijki w pliku http.conf.
Na jakiej podstawie wywnioskowałeś, że masz zmienić tylko 2 z 3 przesłanych linijek?

Na marginesie: pomiędzy "/<path to>/" a "file.pem" nie powinno być spacji. To tak na wypadek, gdyby po zamienieniu ścieżki coś nie działało.

Mam też nadzieję, że hasło podane dla AuthLDAPBindPassword to przykład na podstawy tego wątku. Jeśli nie, to:
  1. Właśnie macie wyciek i hasło należy zmienić.
  2. Hasło i tak należy zmienić, bo jest do niczego.
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Wormsek



Dołączył: 25 Cze 2013
Posty: 4
Skąd: Z nienacka

PostWysłany: Pią Gru 19, 2014 11:18 am  OP    Temat postu: Odpowiedz z cytatem Pisownia

Dzięki za odpowiedź.

Hasło oczywiście też było takie na pokaz, ale masz rację, jakby co w pracy też mogli się przyczepić, więc jeszcze bardziej uprościłem, aby nie było niedomówień.

Co do zmiany 2 z 3, to nie wywnioskowałem tak, że tylko te 2 musze zmienić. Po prostu nigdzie nie mogę znaleźć tego wpisu dla LDAPTrustedGlobalCert, dlatego go nie podmieniałem. A nie wiem gdzie go mam wrzucić bo w instrukcji piszą o http.conf, a ja w tym pliku nie steruję to autoryzacją :-(

PS. Jeżeli chodzi o spację, to skopiowałem to co mi napisali w instrukcji, ale oczywiście testowałem tą linijkę bez spacji.

_________________
Pozdro
Worm
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
marcin_an
Site Admin


Dołączył: 26 Maj 2005
Posty: 18767

PostWysłany: Pią Gru 19, 2014 11:24 am      Temat postu: Odpowiedz z cytatem Pisownia

Wormsek napisał:
Hasło oczywiście też było takie na pokaz, ale masz rację, jakby co w pracy też mogli się przyczepić, więc jeszcze bardziej uprościłem, aby nie było niedomówień.
Jeśli to było hasło, to i tak macie wyciek i kiepskie hasło ;).

Wormsek napisał:
Co do zmiany 2 z 3, to nie wywnioskowałem tak, że tylko te 2 musze zmienić. Po prostu nigdzie nie mogę znaleźć tego wpisu dla LDAPTrustedGlobalCert, dlatego go nie podmieniałem. A nie wiem gdzie go mam wrzucić bo w instrukcji piszą o http.conf, a ja w tym pliku nie steruję to autoryzacją :-(
No... do http.conf. Wszystkie trzy linijki idą do http.conf, co jest napsane w instrukcji.
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Wormsek



Dołączył: 25 Cze 2013
Posty: 4
Skąd: Z nienacka

PostWysłany: Pią Gru 19, 2014 11:47 am  OP    Temat postu: Odpowiedz z cytatem Pisownia

Ale w dowolnym miejscu? Czy po ładowaniu modułów?

I tych linijek w htaccess mam nie ruszać w ogóle?

PS. Znalazłem w conf/extras też plik httpd-ssl.conf. Czy czasami w nim nie powinienem tego zrobić?

_________________
Pozdro
Worm
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
marcin_an
Site Admin


Dołączył: 26 Maj 2005
Posty: 18767

PostWysłany: Pią Gru 19, 2014 12:01 pm      Temat postu: Odpowiedz z cytatem Pisownia

Wormsek napisał:
Ale w dowolnym miejscu? Czy po ładowaniu modułów?
Tam, gdzie masz resztę linijek dotyczących LDAPa. Nie ze względów na działanie, tylko zwykłą wygodę.

Wormsek napisał:
I tych linijek w htaccess mam nie ruszać w ogóle?
Dopiero teraz zauważyłem... czemu podmieniasz to w .htaccess, skoro w instrukcji jest, że masz to zrobić w konfiguracji globalnej? Przecież to chyba nie jest per-katalog? Tzn. może jest - nie wiem, jak macie to skonfigurowane.

Wormsek napisał:
PS. Znalazłem w conf/extras też plik httpd-ssl.conf. Czy czasami w nim nie powinienem tego zrobić?
Jeżeli jest dołączany do konfiguracji, to można. A czy tam, czy gdzie indziej to zależy od potrzeb i tego, gdzie komu wygodniej tym potem zarządzać.

btw: czemu pytasz w sieci, zamiast po prostu zapytać w firmie? Byłoby to chyba naturalniejsze i szybsze.
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Wormsek



Dołączył: 25 Cze 2013
Posty: 4
Skąd: Z nienacka

PostWysłany: Pią Gru 19, 2014 12:09 pm  OP    Temat postu: Odpowiedz z cytatem Pisownia

marcin_an napisał:
Tam, gdzie masz resztę linijek dotyczących LDAPa. Nie ze względów na działanie, tylko zwykłą wygodę.
[...]
Dopiero teraz zauważyłem... czemu podmieniasz to w .htaccess, skoro w instrukcji jest, że masz to zrobić w konfiguracji globalnej? Przecież to chyba nie jest per-katalog? Tzn. może jest - nie wiem, jak macie to skonfigurowane.

No właśnie jedyne linijki o ldapie znalazłem w htaccess :-(.

marcin_an napisał:

btw: czemu pytasz w sieci, zamiast po prostu zapytać w firmie? Byłoby to chyba naturalniejsze i szybsze.

Bo pracuję w wielkim molochu, który wsparcie IT ma przez Indie składające się z wielu poziomów. A ja pracuję po prostu jako wsparcie sprzedaży więc nawet nie mam możliwości z kimkolwiek tego za bardzo ustalić :-/. A twórca tego rozwiązania odszedł i lekko błądzę po omacku :-(

A poza tym, wiem, że na kodersach są ludzie pro z wielu dziedzin IT (nawet paru moich znajomych ;-)) więc wolę zapytać expertów, niż gdybać. :-)

_________________
Pozdro
Worm
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Wyświetl posty z ostatnich:   
Odpowiedz do tematu    Forum Coders' city Strona Główna -> Webmasterstwo Wszystkie czasy w strefie CET (Europa)

Strona 1 z 1

 
Skocz do:  
Możesz pisać nowe tematy
Możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Możesz dodawać załączniki na tym forum
Możesz pobierać pliki z tego forum




Debug: strone wygenerowano w 0.04638 sekund, zapytan = 11
contact

| Darmowe programy i porady Jelcyna | Tansze zakupy w Helionie | MS Office Blog |