Назад | Перейти на главную страницу

Apache 2.4.41 AH01695: auth_ldap Authenticate: пользователь * аутентификация не удалась

Из-за Привязка канала LDAP 2020 и требование подписи LDAP для Windows Я должен убедиться, что все ldap-клиенты использовали порт ldaps 636 при аутентификации с использованием нашей Active Directory (предполагая, что это самый простой вариант, хорошо осведомленный о других вариантах, таких как использование глобального каталога или TLS - STARTTLS на порту 389)

Моя проблема теперь в том, что Apache регистрирует ошибку - или, по крайней мере, это то, что я думаю, даже если он говорит authnz_ldap: info

[authnz_ldap:info] [pid 5524:tid 5528] [client 172.33.33.33:51539] AH01695: auth_ldap authenticate: user run authentication failed; URI /gateway/ [LDAP: CA certificates cannot be set using this method, as they are stored in the registry instead.][]

Наш AD использует самоподписанные сертификаты. Я экспортировал как корневой, так и промежуточный файлы в два отдельных файла .der, а затем с помощью openssl преобразовал их в .pem. Затем я вставил корень в конец файла, содержащего промежуточное звено (не совсем уверен, но я думаю, что это правильный способ сделать это, по крайней мере, никаких новых ошибок, если для LDAPVerifyServerCert установлено значение 'On')

Настройки конфигурации Apche:

LDAPVerifyServerCert Off
LDAPTrustedMode SSL 
LDAPTrustedGlobalCert CERT_BASE64 D:\klpssl\klpactivedirectory\klp-rootca.pem       
AuthLDAPUrl ldaps://ourDC:636/DC=corp,DC=com?sAMAccountName?sub?(objectClass=*)
LDAPTrustedClientCert CERT_BASE64 D:\ssl\activedirectory\subAndRoot.pem

И как-то вроде работает, но опять же, я не совсем уверен, как понять этот след

[authz_core:debug] [pid 9952:tid 5472] mod_authz_core.c(845): [client 172.33.33.33:54351] AH01628: authorization result: granted (no directives), referer: https://dev-myapp.com/gateway/