Hallo Falk,
Zunächst mal danke für die Antwort.
Die Trennung des Bindings nach ca. 5 Minuten macht der LDAP Server, dass hat
auch ein kurzer Test mit einem (Java-)LDAP Browser bestätigt.
Wenn ich da ein Binding mache und nach 5 Minuten Inaktivität ein Kommando
ausführen will, dann gibt's ein "[ERROR] connection closed".
Das würde ich aber nicht als Problem bezeichnen, eher als Nachvollziehbar -
schließlich läuft so ziemlich jede Authentifizierung darauf, da ist etwas
Housekeeping ganz ok. (Es geht um ca. 140.000 User und bestimmt Hunderte von
Applikationen...)
Für mich sieht es eben so aus, als das mod_auth_ldap diese Trennung nicht
direkt mitbekommt.
Wenn ich es richtig verstanden habe, laufen die folgenden 3 Schritte bei der
ersten Authentifizierung ab:
1.) Binding mit statischem Account
Im Logfile dazu leider keinerlei Einträge (LogLevel debug)
2.) Suche des Users (authenticate)
[Fri Jan 04 08:45:19 2008] [debug] mod_auth_ldap.c(337): [client
143.39.217.53] [2732] auth_ldap authenticate: using URL
ldap://groupservice.firma.com:989/ou=people,ou=firma,o=world?extshortname
[Fri Jan 04 08:45:20 2008] [debug] mod_auth_ldap.c(411): [client
143.39.217.53] [2732] auth_ldap authenticate: accepting dietrich.m.3
3.) Binding mit User Credentials (authorize)
[Fri Jan 04 08:45:20 2008] [debug] mod_auth_ldap.c(550): [client
143.39.217.53] [2732] auth_ldap authorise: successful authorisation because
user is valid-user
Bei allen folgenden (schätzungsweise innerhalb der in KeepAliveTimeout oder
auch LDAPCacheTTL definierten Zeitspanne) scheinen nur Schritte 2 und 3 zu
laufen.
Nach besagten (ca.) 5 Minuten kommt dann sozusagen
4.) Disconnect vom LDAP Server
Damit schlägt Punkt 2 (Suche des Users) also fehl, was mod_auth_ldap aber eben
nicht veranlasst ein neues Binding aufzubauen, sondern einen Fehler zu
Produzieren:
2.) Suche des Users (authenticate)
[Fri Jan 04 08:53:53 2008] [debug] mod_auth_ldap.c(337): [client
143.39.217.53] [2732] auth_ldap authenticate: using URL
ldap://groupservice.firma.com:989/ou=people,ou=firma,o=world?extshortname
[Fri Jan 04 08:53:53 2008] [warn] [client 143.39.217.53] [2732]
auth_ldap authenticate: user dietrich.m.3 authentication failed; URI
/php/test/auth.gui [LDAP: ldap_simple_bind_s() failed][Unavailable]
Der Vollständigkeit halber hier noch die relevanten Loglines des Server Starts:
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(785): [3164] auth_ldap url
parse:
`ldap://groupservice.firma.com:989/ou=people,ou=firma,o=world?extshortname'
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(806): [3164] auth_ldap url
parse: Host: groupservice.firma.com
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(808): [3164] auth_ldap url
parse: Port: 989
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(810): [3164] auth_ldap url
parse: DN: ou=people,ou=firma,o=world
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(812): [3164] auth_ldap url
parse: attrib: extshortname
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(814): [3164] auth_ldap url
parse: scope: base
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(819): [3164] auth_ldap url
parse: filter: (null)
[Fri Jan 04 08:44:44 2008] [debug] mod_auth_ldap.c(884): LDAP: auth_ldap not
using SSL connections
[Fri Jan 04 08:44:44 2008] [debug] util_ldap.c(1501): LDAP merging Shared Cache
conf: shm=0x59f5c0 rmm=0x59f5e8 for VHOST: server.firma.com
[Fri Jan 04 08:44:44 2008] [notice] LDAP: Built with Microsoft LDAP SDK
[Fri Jan 04 08:44:44 2008] [notice] LDAP: SSL support available
[Fri Jan 04 08:44:44 2008] [notice] Apache configured -- resuming normal
operations
Regards,
Martin Dietrich
-----Original Message-----
From: Falk Hackenberger [mailto:[EMAIL PROTECTED]
Sent: Donnerstag, 3. Januar 2008 19:06
To: [email protected]
Subject: Re: FW: mod_auth_ldap
Hallo Martin,
das der Ldap server das Problem ist, kanst Du ausschließen?
falk
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an [EMAIL PROTECTED]
sonstige Anfragen an [EMAIL PROTECTED]
--------------------------------------------------------------------------
