Apache Kerberos / LDAP: Um parâmetro de entrada necessário não pôde ser lido: Um nome inválido foi fornecido (, erro desconhecido)

1

(Debian Squeeze) Eu tenho autenticação Apache via Kerberos - que funciona bem. Agora quero restringir o site a um único grupo, por isso preciso adicionar autorização LDAP. Eu habilitei o authnz_ldap e editei a configuração do apache. Quando uso a diretiva "Require ldap-group", recebo o seguinte erro no log de erros do apache:

gss_display_name() failed: A required input parameter could not be read: An invalid name was supplied (, Unknown error)

A configuração no apache.conf é:

<Directory /var/www/kerberos>
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbAuthRealms MYDOMAIN.LOCAL
Krb5KeyTab /etc/krb5.keytab
KrbServiceName HTTP/[email protected]
AuthLDAPURL "ldap://primarydc.mydomain.local/DC=mydomain,DC=local?sAMAccountName?sub?(objectClass=*)"
AuthLDAPBindDN "[email protected]"
AuthLDAPBindPassword topsecretpassword
Require ldap-group CN=Mygroup,OU=mydomain,DC=local
</Directory>

Eu tentei adicionar "KrbLocalUserMapping On", mas o mesmo problema permaneceu.

Se eu desabilitar a linha Require ldap-group, tudo funcionará bem, eu posso autenticar via kerberos e ver meu nome de usuário nos logs (seja como [email protected] ou apenas firstname.last com KrbLocalUserMapping On)

Como posso fazer isso funcionar?

Editar: acabei de tentar

AuthLDAPURL ldap://oneaupwdc01.onevue.com.au.local/DC=onevue,DC=com,DC=au,DC=local?userPrincipalName

com KrbLocalUserMapping desativado e teve o mesmo resultado.

    
por DrStalker 07.09.2012 / 07:30

0 respostas