Authentification LDAP sur Apache

Support Debian
#1

Bonjour,

Ceci est mon premier message, je m’excuse d’avance si je ne poste pas dans la catégorie adaptée mais la j’en peux plus.

Bon je vous explique mon problème : j’ai suivi a la lettre plusieurs tutos, mais l’authentification avec un compte LDAP pour me connecter a Apache ne fonctionne pas !

Apache me demande un nom d’utilisateur et un mot de passe, je rentre celui d’un compte du LDAP, et ca ne fonctionne jamais. J’ai essayé plusieurs mode d’authentification : un groupe du LDAP, un utilisateur du LDAP … rien ne fonctionne.

Voici mon arbre :

dn: dc=exiacorps,dc=fr
objectClass: top
objectClass: dcObject
objectClass: organization
o: exiacorps.fr
dc: exiacorps
structuralObjectClass: organization
entryUUID: 80fca2f6-bf0c-1031-8e2d-e7a2b3e3863f
creatorsName: cn=admin,dc=exiacorps,dc=fr
createTimestamp: 20121109225655Z
entryCSN: 20121109225655.837523Z#000000#000#000000
modifiersName: cn=admin,dc=exiacorps,dc=fr
modifyTimestamp: 20121109225655Z

dn: cn=admin,dc=exiacorps,dc=fr
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e1NTSEF9bVM5L2tuVEN0ZlZIY3RUOGhyM29RKzh1K1VRQzhYVUU=
structuralObjectClass: organizationalRole
entryUUID: 80fd4c24-bf0c-1031-8e2e-e7a2b3e3863f
creatorsName: cn=admin,dc=exiacorps,dc=fr
createTimestamp: 20121109225655Z
entryCSN: 20121109225655.841859Z#000000#000#000000
modifiersName: cn=admin,dc=exiacorps,dc=fr
modifyTimestamp: 20121109225655Z

dn: ou=people,dc=exiacorps,dc=fr
ou: people
objectClass: organizationalUnit
structuralObjectClass: organizationalUnit
entryUUID: b67b595e-bf0c-1031-861e-275169cf36d2
creatorsName: cn=admin,dc=exiacorps,dc=fr
createTimestamp: 20121109225825Z
entryCSN: 20121109225825.587191Z#000000#000#000000
modifiersName: cn=admin,dc=exiacorps,dc=fr
modifyTimestamp: 20121109225825Z

dn: ou=groups,dc=exiacorps,dc=fr
ou: groups
objectClass: organizationalUnit
structuralObjectClass: organizationalUnit
entryUUID: b67df920-bf0c-1031-861f-275169cf36d2
creatorsName: cn=admin,dc=exiacorps,dc=fr
createTimestamp: 20121109225825Z
entryCSN: 20121109225825.604378Z#000000#000#000000
modifiersName: cn=admin,dc=exiacorps,dc=fr
modifyTimestamp: 20121109225825Z

dn: cn=tdemoulin,ou=groups,dc=exiacorps,dc=fr
cn: tdemoulin
gidNumber: 20001
objectClass: top
objectClass: posixGroup
structuralObjectClass: posixGroup
entryUUID: 8460142c-bf0d-1031-8620-275169cf36d2
creatorsName: cn=admin,dc=exiacorps,dc=fr
createTimestamp: 20121109230411Z
entryCSN: 20121109230411.019121Z#000000#000#000000
modifiersName: cn=admin,dc=exiacorps,dc=fr
modifyTimestamp: 20121109230411Z

dn: uid=tdemoulin,ou=people,dc=exiacorps,dc=fr
uid: tdemoulin
uidNumber: 20001
gidNumber: 20001
cn:: dGjDqW8=
sn:: ZGVtb3VsaW4g
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
loginShell: /bin/bash
homeDirectory: /home/tdemoulin
userPassword:: cGFzc3dvcmQ=
structuralObjectClass: person
entryUUID: 8460428a-bf0d-1031-8621-275169cf36d2
creatorsName: cn=admin,dc=exiacorps,dc=fr
createTimestamp: 20121109230411Z
entryCSN: 20121109230411.020309Z#000000#000#000000
modifiersName: cn=admin,dc=exiacorps,dc=fr
modifyTimestamp: 20121109230411Z

dn: cn=pgotteland,ou=groups,dc=exiacorps,dc=fr
cn:: cGdvdHRlbGFuZCAgIA==
gidNumber: 20002
objectClass: top
objectClass: posixGroup
structuralObjectClass: posixGroup
entryUUID: 98376cf2-bf0d-1031-8622-275169cf36d2
creatorsName: cn=admin,dc=exiacorps,dc=fr
createTimestamp: 20121109230444Z
entryCSN: 20121109230444.307129Z#000000#000#000000
modifiersName: cn=admin,dc=exiacorps,dc=fr
modifyTimestamp: 20121109230444Z

dn: uid=pgotteland,ou=people,dc=exiacorps,dc=fr
uid: pgotteland
uidNumber: 20002
gidNumber: 20002
cn: Paul
sn: Gotteland
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
loginShell: /bin/bash
homeDirectory: /home/pgotteland
userPassword:: cGFzc3dvcmQ=
structuralObjectClass: person
entryUUID: 3b893a52-bf0e-1031-8625-275169cf36d2
creatorsName: cn=admin,dc=exiacorps,dc=fr
createTimestamp: 20121109230918Z
entryCSN: 20121109230918.311850Z#000000#000#000000
modifiersName: cn=admin,dc=exiacorps,dc=fr
modifyTimestamp: 20121109230918Z

Voici mon fichier httpd.conf :

DirectoryIndex index.html
ServerName serveur.exiacorps.fr
UserDir www

Et enfin voici mon fichier virtualhost, contenu dans /etc/apache2/sites-enabled :

<VirtualHost *:80>
ServerAdmin postmaster@exiacorps.fr
ServerName www.exiacorps.fr
ServerAlias *.exiacorps.fr
DocumentRoot /var/www/exiacorps/
<Directory /var/www/exiacorps>
AuthType Basic
AuthName "Bienvenue sur Exiacorps.fr"
AuthBasicProvider ldap
AuthUserFile /dev/null
AuthLDAPURL ldap://localhost/dc=exiacorps,dc=fr?uid?sub
AuthLDAPGroupAttribute member
Require ldap-group cn=tdemoulin,ou=groups,dc=exiacorps,dc=fr
Options Indexes FollowSymLinks Multiviews
AllowOverride None
Order allow,deny
allow from all

ServerSignature Off

Je pense que mon erreur viens de mon arbre ou de mon fichier virtualhost mais je ne sais pas comment le vérifier.

Pourriez vous me venir en aide s’il vous plait ?

Merci d’avance

#2

Bonjour,

As tu pensé à activer le module d’authentification LDAP ?

a2enmod authnz_ldap /etc/init.d/apache2 restart

#3

Salut,

Pour des tests j’avais monté comme toi un serveur LDAP (OpenLDAP) couplé à apache pour l’authentification d’un utilisateur.

Je te postes le fichier de configuration de mon VirtualHost. J’ai quelques attributs en plus, mais là comme ça je ne saurais pas te dire si ça change quelque chose. Tu peux toujours tester :

[code]NameVirtualHost 192.168.236.136:80 # Adresse IP du Virtual Host

<VirtualHost 192.168.236.136:80>
DocumentRoot /var/www/intranet/ # Arborescence racine du site
ServerName intranet.mondomaine.lan # nom du serveur Web pour cette racine

<Directory /var/www/intranet/direction> #Répertoire concerné par les règles
Options -Indexes FollowSymLinks MultiViews
AllowOverride None
AuthName "Acces securise pour la Direction"
AuthType basic # Fait apparaître la fenêtre de login : authentification en clair
AuthBasicProvider ldap # Le fournisseur d’authentification est un serveur LDAP
AuthzLDAPAuthoritative on
AuthLDAPURL "ldap://openldap.mondomaine.lan:389/dc=mondomaine,dc=lan?uid?sub"
Require ldap-group cn=Direction,ou=Groupes,dc=mondomaine,dc=lan # On indique quel groupe est autorisé
AuthLDAPGroupAttributeIsDN off
AuthLDAPGroupAttribute memberUid

[/code]

#4

Merci d’avoir répondu, le problème venait de mon arbre LDAP, j’ai supprimer les cn=tdemoulin,ou=group avec ldapdelete, puis j’ai retester avec require ldap-filter et cela fonctionne :wink:

#5

Ok tant mieux pour ton problème.
Si tu pouvais mettre la fameuse petite coche verte :wink: