Apache WebDAV Kerberos & LDAP Authentication

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Apache WebDAV Kerberos & LDAP Authentication

Beitrag von joe2017 » 24.08.2018 12:02:00

Hallo zusammen,

ich verwende die aktuelle Debian Version 9.5.0.
Ich habe meinen Apache (WebDAV) Server wie folgt konfiguriert:

Code: Alles auswählen

<Directory /var/www/html/webdav-test>
  SSLRequireSSL
  DAV On
  AuthName "TEST WebDav"
  AuthType Basic
  AuthBasicProvider ldap
  AuthLDAPURL ldaps://Server.domain.net/dc=domain,dc=net?uid?sub?(objectClass=*)
  AuthLDAPGroupAttribute memberUid
  AuthLDAPGroupAttributeIsDN off
  <RequireAll>
    Require ldap-group cn=web_dav_test,ou=Groups,dc=domain,dc=net
    Require valid-user
    Require ip 192.168
  </RequireAll>
</Directory>
Das funktioniert soweit ganz gut und mein Client wird z.B. in Thunderbird beim anlegen eines neuen WebDAV Kalenders nach dem LDAP Kennwort gefragt.
Jetzt wollte ich das ganze mit Kerberos authentifizieren.

Code: Alles auswählen

<Directory /var/www/html/webdav-test>
  SSLRequireSSL
  DAV On
  AuthName "TEST WebDav"
  AuthType Kerberos
  KrbAuthRealms DOMAIN.NET
  KrbServiceName HTTP/Server.domain.net
  KrbMethodNegotiate on
  KrbMethodK5Passwd on
  Krb5Keytab /etc/krb5.keytab
</Directory>
Das funktioniert soweit auch. Jedoch möchte ich weiterhin den Zugriff nur einer bestimmten LDAP Gruppe erlauben. Jedoch soll der aktuell angemeldete Kerberos Benutzer für die Authentifizierung an der LDAP Gruppe verwendet werden.

Mit meiner Config wird nach wie vor der LDAP Benutzer abgefragt.

Code: Alles auswählen

<Directory /var/www/html/webdav-test>
  SSLRequireSSL
  DAV On
  AuthName "TEST WebDav"
  AuthType Kerberos
  KrbAuthRealms DOMAIN.NET
  KrbServiceName HTTP/Server.domain.net
  KrbMethodNegotiate on
  KrbMethodK5Passwd on
  Krb5Keytab /etc/krb5.keytab

#  Require ldap-filter objectClass=posixAccount
  <RequireAll>
    Require ldap-group cn=web_dav_test,ou=Groups,dc=domain,dc=net
    Require valid-user
    Require ip 192.168
  </RequireAll>
</Directory>
Hat das schon mal jemand realisiert?

Antworten