Q&A
389-ds の access ログには何か記録されていませんでしょうか?
特に、「CMP dn="グループDN" attr="memberUid"」とその結果箇所。
前提・実現したいこと
以前こちらで質問させていただいたことがあるのですが、389DSを用いてLDAP認証サーバを立てています。
今回別のWEBサーバのBasic認証に、このサーバのLDAPを使おうとしています。(WEBサーバのApacheのバージョンは2.4.6)
#発生している問題・エラーメッセージ
WEBサーバで動かしているApacheの設定ファイルで
<Location "/~">
AuthType Basic
AuthName "Input ID and Password"
AuthBasicProvider ldap
AuthLDAPURL ldap://〇/ou=People,dc=〇,dc=▽,dc=×?uid TLS
Require valid-user
</Location>
この場合、認証は問題なく通ります。
Require user A B……
と個別にユーザ名を記述した場合も問題はありませんでした。
しかし、
<Location "/~">
Options Includes
AuthType Basic
AuthName "Input ID and Password"
AuthBasicProvider ldap
AuthLDAPURL ldap://〇/ou=People,dc=〇,dc=▽,dc=×?uid TLS
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN off
require ldap-group cn=▽,ou=Group,dc=〇,dc=▽,dc=×
</Location>
これだと認証が通らないのです。
なぜ、認証が通らないのかが分からず困っております。
問題点が分かる人がおられましたら教えていただけませんでしょうか?
メモ
WEBサーバで
ldapsearch -x -H ldap://〇 -b cn=▽,ou=Group,dc=〇,dc=▽,dc=×
とやると結果が返ってきます。
dn: cn=▽,ou=Group,dc=〇,dc=▽,dc=×
objectClass: top
objectClass: posixGroup
cn: ▽
gidNumber: (番号)
memberUid: 登録されたuid
……
この点には問題がなさそうに見えます。
お返事ありがとうございます。
[日時] conn=88191 op=5 CMP dn="▽,ou=Group,dc=〇,dc=▽,dc=×" attr="memberUid"
[日時] conn=88191 op=5 RESULT err=50 tag=111 nentries=0 wtime=0.000048816 optime=0.000039781 etime=0.000087658
こんな感じになります。
回答1件
0
ベストアンサー
「err=50」は LDAP_INSUFFICIENT_ACCESS (0x32) とのことです。
グループに対する compare 権限が anonymous に無いのだと思います。
権限を持つ DN、パスワードを AuthLDAPBindDN, AuthLDAPBindPassword に設定するか、anonymous で compare できるよう、ACI を設定する必要があります。
後者の場合、ACI を設定したら、ldapcompare コマンドで事前に確認するといいと思います。
ldapcompare -x -H ldap://... "グループDN" "memberUid:ユーザーID" ; echo $? (主な終了コード : ldap.h) #define LDAP_COMPARE_FALSE 0x05 #define LDAP_COMPARE_TRUE 0x06 #define LDAP_INSUFFICIENT_ACCESS 0x32
投稿2021/08/20 12:53
総合スコア12146
早速のご回答ありがとうございます。
週明けになりますが、試してみる心算です。
上記の件、試してみました。
dn: dc=〇,dc=▽,dc=×
add: aci
aci: (targetfilter="(objectClass=posixGroup)")(version 3.0;acl"";allow(search,read,compare)(userdn="ldap:///anyone");)
というldifを書いて、読み込ませてみました。
ldapsearchでaciを表示させると、
aci: (targetfilter="(objectClass=posixGroup)")(version 3.0;acl"";allow(search,
read,compare)(userdn="ldap:///anyone");)
との表記がきちんとあります。
しかし、
ldapcompare -x -H ldap://…… 'cn=グループ名,ou=Group,dn: dc=〇,dc=▽,dc=×' 'memberUid: ユーザID'
としてみましたが、結果は
Compare Result: Insufficient access (50)
UNDEFINED
でした。
念のため、Basic認証も試してみましたが、状況は変わりませんでした。
この書き方では、compare権限をanonymousにつけることが出来ていないという事でしょうか?
targetfilter だけだとダメみたいです。
「(targetfilter="(objectClass=posixGroup)")(targetattr="memberUid")」あるいは
「(targetfilter="(objectClass=posixGroup)")(targetattr="*")」で属性も指定する必要があります。
ありがとうございます。
もしかして、targetattrも要るのか?とやっと思いついたところでした。
設定してみたところ、うまく行きました。
あなたの回答
tips
プレビュー
