mod_authnz_ldap - usando AuthLDAPInitialBindAsUser encontrando um “erro interno” obscuro

1

No RHEL 7.4, Apache / 2.4.6 usando a configuração mod_authnz_ldap.so e AuthLDAPInitialBindAsUser.

A configuração é para fazer a autenticação LDAP, ligando-se ao login do usuário.

Quando o usuário é solicitado a fornecer seu nome de usuário / senha no pop-up "Autenticação necessária":

  • Se o usuário e qualquer deixarem os dois campos em branco ou , insira apenas seu nome de usuário, deixe o campo de senha em branco e pressione "OK", ele obtém um página com " O servidor encontrou um erro interno ou um erro de configuração e não pôde concluir sua solicitação. " - não há erros em / var / log / httpd / error_log
  • Se o usuário inserir um nome de usuário inválido e / ou uma senha inválida, o sistema reagirá normalmente e apresentará o pop-up novamente.
  • Se o usuário inserir o nome de usuário e a senha corretos, o sistema reagirá normalmente e será apresentada a página da Web desejada.

Como evitar essa página de erro?

kibana.conf:

<VirtualHost *:80>
    ServerName kibana.mydomain.com
    ProxyPass / http://127.0.0.1:5601/
    ProxyPassReverse / http://127.0.0.1:5601/

    <Location "/app/kibana">
        AuthType basic
        AuthName "LDAP Login"
        AuthBasicProvider ldap
        AuthLDAPURL "ldap://ldap.mydomain/dc=example,dc=com?sAMAccountName?sub?(objectClass=*)"
        AuthLDAPInitialBindAsUser on
        AuthLDAPInitialBindPattern (.*) "CN=$1,ou=users,dc=example,dc=com"
        Require valid-user
    </Location>

</VirtualHost>

Defino LDAPLibraryDebug 7 e recebi a seguinte mensagem de erro em / var / log / httpd / error_log

res_errno: 1, res_error: <000004DC: LdapErr: DSID-0C09075A, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v1db1>, res_matched: <> ldap_free_request (origid 2, msgid 2) ldap_parse_result ldap_err2string [Thu Nov 29 20:36:09.068006 2018] [authnz_ldap:info] [pid 25551] [client 72.23.42.165:56915] AH01695: auth_ldap authenticate: user authentication failed; URI /home/debug.jsp [ldap_search_ext_s() for user failed] [Operations error] <---- *this should result in authentication failure not Operation errors which cannot be handled by the http landler and ends up as an internal server error*

A mensagem " Para executar esta operação uma ligação bem-sucedida deve ser concluída na conexão. " leva-me a acreditar que o módulo está tentando executar outra operação mesmo que a ligação esteja incompleta. Mas deve reagir exatamente como quando a senha é inválida ou quando o nome de usuário não foi fornecido.

Mensagem de erro quando o nome de usuário é passado, mas o campo de senha é deixado em branco:

[Thu Nov 29 20:48:48.818805 2018] [authnz_ldap:info] [pid 25550] [client 72.23.42.165:57045] AH01695: auth_ldap authenticate: user the.user authentication failed; URI /home/debug.jsp [LDAP: ldap_simple_bind() failed][Invalid credentials] [Thu Nov 29 20:48:48.818833 2018] [auth_basic:error] [pid 25550] [client 72.23.42.165:57045] AH01617: user the.user: authentication failure for "/home/debug.jsp": Password Mismatch

Mensagem de erro quando nenhum nome de usuário é inserido, mas há um valor no campo de senha

[Thu Nov 29 20:49:18.720210 2018] [authnz_ldap:info] [pid 25549] [client 72.23.42.165:57050] AH01695: auth_ldap authenticate: user authentication failed; URI /home/debug.jsp [LDAP: ldap_simple_bind() failed][Invalid credentials] [Thu Nov 29 20:49:18.720222 2018] [auth_basic:error] [pid 25549] [client 72.23.42.165:57050] AH01617: user : authentication failure for "/home/debug.jsp": Password Mismatch

Mensagem quando um nome de usuário / senha corretos

[Thu Nov 29 20:53:29.658294 2018] [authnz_ldap:debug] [pid 25551] mod_authnz_ldap.c(593): [client 72.23.42.165:57105] AH01697: auth_ldap authenticate: accepting the.user [Thu Nov 29 20:53:29.658328 2018] [authz_core:debug] [pid 25551] mod_authz_core.c(809): [client 72.23.42.165:57105] AH01626: authorization result of Require valid-user : granted [Thu Nov 29 20:53:29.658338 2018] [authz_core:debug] [pid 25551] mod_authz_core.c(809): [client 72.23.42.165:57105] AH01626: authorization result of : granted [Thu Nov 29 20:53:29.658546 2018] [proxy:debug] [pid 25551] mod_proxy.c(1123): [client 72.23.42.165:57105] AH01143: Running scheme http handler (attempt 0)

    
por Mike 22.11.2018 / 20:53

1 resposta

0

Acredito que não há erro, apenas que a sua página de erro para esse problema específico está definida como padrão. Sugiro encontrar uma maneira de definir a página de erro de senha para a que você especificar.

Se você quiser ver, é melhor habilitar o LDAPLibraryDebug

Mais informações: Mods do Apache: mod_authnz_ldap

Vídeo com configuração: Vídeo do YouTube no LDAP

    
por 27.11.2018 / 22:38