LINUX.ORG.RU
ФорумAdmin

Авторизация пользователей windows AD на linux сервере


0

0 

Доброго времени суток. Ситуация такая. Есть офисная сеть, контроллер
домена - windows active directory. Есть сервер CentOS 5.1, на нем 
apache + svn. Задача организовать Доступ к репозитрию для 
пользователей Windows AD. фрагмент конфига httpd.conf: 
<Location /repos> 
DAV svn 
SVNParentPath /var/svn/repos 
Order deny,allow 
AuthType Basic 
AuthName "root Subversion Repository" 
AuthBasicProvider ldap AuthName 
AuthLDAPURL "ldap://DC.MY.LOCAL:389/DC=MY,DC=LOCAL" 
AuthLDAPBindDN "CN=LDAPSvcAccount,OU=NamegroupAccount,DC=my,DC=local 
AuthLDAPBindPassword qwerty require valid-user 
</location> 
При попытке войти на сервер IE сначала таки спрашивает пароль (т.е. 
авторизация AD не проходит), а потом вываливает ошибку 500:internal 
server error а в лог апача падает: configuration error: couldn't 
perform autorization. AuthType not set! /repos 

На этом собственно и уткнулся.. Куда посмотреть? Где еще чего надо 
прописать?

2.6.25 & VMWare server
sendmail, как слать через другой релей ?

а auth_ldap_module загружен?

наверное, еще стоит заменить AuthBasicProvider ldap AuthName на AuthBasicProvider ldap

AuthLDAPURL "ldap://DC.MY.LOCAL:389/DC=MY,DC=LOCAL" прописать как что-то более осмысленное, поскольку по-умолчанию он ищет записи по uid, а в MSAD uid нет: AuthLDAPURL "ldap://DC.MY.LOCAL:389/DC=MY,DC=LOCAL?userPrincipalName"

если все совсем плохо, то на домен контроллере следует включить дебаг режим, делается примерно так: http://support.microsoft.com/kb/314980

borisych ★★★★★
()

не уверен, что AD даст прям так напрямую через ее ldap. попробуй использовать для этого использовать виндозный радиус, и настрой апач на радиус

chocholl ★★
()
Ответ на: комментарий от borisych

Заменил. Стало лучше. Теперь он узнает юзера но авторизация все равно failed. Похоже правда придется Kerberos прикручивать или Радиус. Проблема в том, что AD администрируется не мной и хотелось бы обойтись с минимумом изменений на нем..

mormon
() автор топика
Ответ на: комментарий от mormon

дык радиус и придумали для разделения зон ответственности.
унифицированная платформа аутентификации.

chocholl ★★
()
Ответ на: комментарий от chocholl

> попробуй использовать для этого использовать виндозный радиус

А что мешает поставить тот же freeradius? Он прекрасно может авторизоваться в AD.

anonymous
()
Ответ на: комментарий от anonymous

ничего не мешает.
но, на мой взгляд, в данной кострукции целесообразнее (c точки зрения разделения ответственности) использовать именно виндовый.

chocholl ★★
()
Ответ на: комментарий от mormon

>Заменил. Стало лучше. Теперь он узнает юзера но авторизация все равно failed. Похоже правда придется Kerberos прикручивать или Радиус. Проблема в том, что AD администрируется не мной и хотелось бы обойтись с минимумом изменений на нем..

дебаг в AD включите и посмотрите какие запросы идут, а вообще я подозреваю, что MSAD не хочет без ssl работать

borisych ★★★★★
()
Ответ на: комментарий от borisych

Прально подозреваете.. прикручиваю ssl..

mormon
() автор топика
Ответ на: комментарий от anonymous

> А что мешает поставить тот же freeradius? Он прекрасно может авторизоваться в AD

Да вот хотелось бы обойтись без каких либо надстроек. Тем более доступ с сервера в AD мне не требуется, надо лишь что бы пользователи туда попадали. Когда то, када разбирался с AD помню что MS использовало такой термин как "удаленный сервер", а именно машину которая в домене не авторизуется, но к которой возможен доступ пользователей этого домена. Хотя честно говоря помню это довольно смутно и неуверенно. Может сдесь кто что подскажет? :)

mormon
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
2.6.25 & VMWare server
Admin
sendmail, как слать через другой релей ?