LDAP 인증/URL이 작동하지 않는 이유는 무엇입니까?

Question

특정 리소스에 대해 유효한 LDAP 자격 증명이 필요하도록 Apache2를 구성하고 있습니다. 나는에서 얻을 수없는 자격 증명 있지만 사용자에 대한 프롬프트가의 AuthnProviderAlias

<AuthnProviderAlias ldap users> 
AuthLDAPURL "ldap://ldap.devops.ok/dc=devops,dc=ok?uid?sub?(&(objectClass=organizationalPerson)(isMemberOf=cn=users,dc=groups,dc=devops,dc=ok))" 
AuthLDAPBindDN "cn=admin" 
AuthLDAPBindPassword **** 
</AuthnProviderAlias> 

기본 인증이 구성되어 다음과 같은 예를 들어 있습니다. 아파치는 내부 서버 500 응답 코드를보고합니다.

내가 LogLevel debug 로그를 추가

는 사용자가

[Thu Sep 01 08:57:37.878815 2016] [authz_core:debug] [pid 3501] mod_authz_core.c(809): [client 10.0.2.2:34163] AH01626: authorization result of Require valid-user : denied (no authenticated user yet) 
[Thu Sep 01 08:57:37.878887 2016] [authz_core:debug] [pid 3501] mod_authz_core.c(809): [client 10.0.2.2:34163] AH01626: authorization result of <RequireAny>: denied (no authenticated user yet) 

내 의심 AuthLDAPURL가 정확하지 않다는 것이다 유효하지 않음을 보여줍니다.

이 URL의 정확성을 어떻게 확인할 수 있습니까? URL은 간단하지만 더 복잡 할 것입니다. 시행 착오 이외의 유효한 URL을 사용하여 Apache 서비스를 다시로드하는 것이 더 좋은 방법입니까? 어떤 도구를 사용할 수 있습니까?

Answer 1

나는 cn = admin이 문제라고 생각합니다. 관리자 사용자의 완전히 고유 한 이름입니까?

"아직 인증 된 사용자가 없습니다"는 것은 LDAP 서버 구현이 바인드 요청을 수락하지 않음을 의미합니다.

좋은 LDAP 브라우저로 연결을 시도하십시오. (우리는 APache Studio을 좋아한다)

Answer 2

ldapsearch 유틸리티를 사용하여 필터를 사용하여 검색을 성공적으로 바인드 할 수 있는지 확인하는 것이 좋습니다.

ldapsearch -x -H ldap://ldap.devops.ok -b dc=devops,dc=ok -D "cn=Admin" -w yourpassword "(&(objectClass=organizationalPerson)(isMemberOf=cn=users,dc=groups,dc=devops,dc=ok))" uid 

jwilleke와 (과) 비슷한 방법으로 BindDN이 올바른지 확인하십시오.

"cn = Admin"또는 "cn = Directory Manager"(Directory Server의 관리자 계정)를 사용하여 디렉토리 서버에 바인드하는 것은 안전하지 않습니다. 이러한 작업을 수행 할 수있는 권한없는 서비스 계정을 만듭니다.