Verständnisfrage zu LDAP/Kerberos SASL

[joe2017]

Also ich habe jetzt mit addprinc und ktadd meinen Host zu meinem Apache Server hinzugefügt. Das ist ja kein Problem.

Du meinst ich müsste mich jetzt mit dem host/server.domain.com an meinem Kerberos authentifizieren?

Code: Alles auswählen

kinit host/server.domain.com

Das kann ich aber nicht, da die princs ja mit einem -randkey eingerichtet werden.

Code: Alles auswählen

addprinc -randkey host/server.domain.com

Oder verstehe ich jetzt etwas falsch?

Ich beschäftige mich leider erst seit 1-2 Jahren mit Ubuntu/Debian und das ist für mich leider etwas neu.
Ich möchte niemand mit solchen Fragen belästigen und versuche deshalb auch immer etwas zurück zu geben. Ich habe in fast allen meinen gelösten Posts noch einmal zusammengefasst was ich durchgeführt habe um anderen weiterhelfen zu können. Das nur mal zwischendurch.

Das Thema LDAP Kerberos ist eigntlich nicht genz so kompliziert. Jedoch an manchen Stellen komme ich hier einfach nicht weiter. Ich hatte wohl einen falschen Ansatz.

Ich danke dir auf jeden Fall jetzt schon mal für deine Hilfe.

[bluestar]

Du kannst au dem Apache Server aber mal ein kinit als Benutzer testen und schauen, ob das geht.

[joe2017]

Das geht. Jedoch handelt es sich hierbei um einen Server und ich melde mich ja im normalfall nicht an diesem an.
Daher dachte ich richte ich die host/.... princs ein welche sich beim Server start automatisch mit Kerberos authentifizieren.

Wenn ich das jetzt verstanden habe, versucht sich aktuell mein Client am Apache mit Kerberos bzw. LDAP zu authentifizieren, jedoch ist meine Apache selbst nicht am Kerberos authentifiziert, wodurch er die Client anfrage nicht durchreichen kann. Das macht natürlich auch Sinn!

[joe2017]

Also irgendwas scheint hier nicht zu passen. Wenn ich am Apache auf Kerberos stelle funktioniert alles.
Jedoch möchte ich die Seite auf eine einzige LDAP Gruppe beschränken. Damit scheint es noch Probleme zu geben.

Ich gehe mal davon aus, dass mein Apache die Zuordnung von meinem Client Kerberos Ticket zu dem LDAP User nicht kennt.

An meinem Apache kann ich mit getent group /getent passwd alle LDAP Gruppen abfragen.
Ich erhalte mit kinit auch ein Kerberos Ticket.
Und mein Client kann sich ja auch mit seinem Kerberos Ticket an der Webseite anmelden.
Andernfalls würde mit der Kerberos Konfiguration die Webseite nicht angezeigt werden.

Das einzige Problem ist wie gesagt, dass ich die Seite nicht auf eine LDAP Gruppe beschränken kann. (Require ldap-group)
Aktuelle Kerberos Konfiguration:

Code: Alles auswählen

<Directory /var/www/html/webdav>
  SSLRequireSSL
  DAV On
  AuthName "WebDav"
  AuthType Kerberos
  KrbAuthRealms DOMAIN.COM
  KrbMethodNegotiate on
  KrbMethodK5Passwd on
  Krb5Keytab /etc/krb5.keytab
</Directory>

sudo ls -l /etc/krb5.keytab

Code: Alles auswählen

-rw------- 1 www-data root 446 Dez 17 09:31 /etc/krb5.keytab

Ich habe auch schon folgende Einträge der Konfig hinzugefügt:

Code: Alles auswählen

AuthLDAPURL ldaps://ldapserver.domain.com/dc=domain,dc=com?uid?sub?(objectClass=*)
Require ldap-group cn=web_dav,ou=Groups,dc=domain,dc=com

Sobald ich die LDAP Konfig hinzufüge wird mein Client bei dem Seitenzugriff zur Benutzer/Passwort Eingabe aufgefordert.

Irgendwo hängt es und ich finde es nicht. Vielleicht hat noch jemand eine Idee?

[bluestar]

Irgendwo hängt es und ich finde es nicht. Vielleicht hat noch jemand eine Idee?

Kannst du mal aus den Apache-Access-Logs eine paar Zeilen posten, wenn ein User sich über Kerberos eingeloggt hat.

[joe2017]

Schönen guten Morgen,

Das einzige was ich hierzu in den Apache Logs finden konnte ist folgendes
/var/log/apache2/error.log

Code: Alles auswählen

[authz_core:error] [pid 588:tid 140314081744640] [client IP-Adresse:43144] AH01631: user benutzer@DOMAIN.COM: authorization failure for "/webdav":

Aber das ist nicht wirklich aussagekräftig.

[joe2017]

Jetzt habe ich gerade etwas neues herausgefunden.

Meine aktuelle Konfiguration sieht wie folgt aus.

Code: Alles auswählen

<Directory /var/www/html/webdav>
  SSLRequireSSL
  DAV On
  AuthName "WebDav"
  AuthType Kerberos
  KrbAuthoritative off
  KrbMethodNegotiate on
  KrbMethodK5Passwd on
  KrbServiceName HTTP
  KrbAuthRealms DOMAIN.COM
  KrbLocalUserMapping On
  Krb5Keytab /etc/krb5.keytab
  AuthLDAPURL ldaps://ldapServer.domain.com/dc=domain,dc=com?uid?sub?(objectClass=*)
  Require ldap-user "LDAPUser1"
</Directory>

Die Konfiguration Require ldap-user funktioniert.
Öffne ich die Webseite werde ich nach Benutzer und Passwort gefragt. Trage ich die Benutzerdaten von LDAPUser1 ein erhalte ich Zugriff. Trage ich LDAPUser2 ein wird der Zugriff verweigert.

Verwende ich Require ldap-group "LDAP-Gruppe" wird der Zugriff immer verweigert, obwohl mein LDAPUser1 zu der LDAP-Gruppe hinzugefügt wurde.

[bluestar]

Ich sehe in deiner Config gar keine Konfiguration für das LDAP-Group Mapping, also die Parameter AuthLDAPGroupAttribute und AuthLDAPGroupAttributeIsDN, passen da die Default-Werte zu deinem Setup?

[joe2017]

Schönen guten Morgen und ein Gutes neues Jahr allen zusammen.

Zu deiner Frage. Diese Einträge hatte ich selbstverständlich in Verwendung. Das hatte ich vergessen zu erwähnen. Wenn ich meine Gruppe abfrage sieht meine Config wie folgt aus.

Code: Alles auswählen

<Directory /var/www/html/webdav>
  SSLRequireSSL
  DAV On
  AuthName "WebDav"
  AuthType Kerberos
  KrbAuthoritative off
  KrbMethodNegotiate on
  KrbMethodK5Passwd on
  KrbServiceName HTTP
  KrbAuthRealms DOMAIN.COM
  KrbLocalUserMapping On
  Krb5Keytab /etc/krb5.keytab
  AuthLDAPURL ldaps://ldapServer.domain.com/dc=domain,dc=com?uid?sub?(objectClass=*)
  AuthLDAPGroupAttribute memberUid
  AuthLDAPGroupAttributeIsDN off  
  Require ldap-group cn=web_dav,ou=Groups,dc=domain,dc=com
</Directory>

Hier erhalte ich jedoch immer die Fehlermeldung

Code: Alles auswählen

Unauthorized
This Server could not verify that you are authorized to access the document requested