Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:apache_http_server_centos_7_-_mod_ldap_-_ldap-authentifizierung

Apache HTTP Server CentOS 7 - mod_ldap - LDAP-Authentifizierung

Die Apache HTTP Server-Module mod_ldap und mod_authnz_ldap werden benötigt um LDAP/LDAPS Kommunikation unverschlüsselt und verschlüsselt betreiben zu können. Die Kommunikation mit einem LDAP-Server via ldap auf Port 389 und, die Kommunikation mit einem LDAPS-Server via ldaps auf Port 636, kann so realisiert werden.

Um eine LDAPS Kommunikation verschlüsselt betreiben zu können, ist bei Verwendung eines Self-signed-certificate, das ROOT-Zertifikat des LDAPS-Servers dem Apache HTTP Server bekannt zu machen.

Die beiden Module

  • mod_ldap
  • mod_authnz_ldap

werden benötigt um den Zugriff auf einen LDAP-Server bzw. LDAPS-Server, hier in dieser Beschreibung der OpenLDAP, zu realisieren um unter anderem auch in Kombination mit

  • .htaccess-Dateien
  • httpd.conf-Konfigurationen
  • ssl.conf-Konfigurationen
  • vhost.conf-Konfigurationen

Verwendung zu finden.

:!: WICHTIG - Nachfolgende Konfigurationen setzen die Einrichtung eines OpenLDAP-Servers, wie unter nachfolgendem internen Link beschrieben, voraus:

:!: WICHTIG - Nachfolgende Konfigurationen setzen die Einrichtung eines Apache HTTP Servers, wie unter nachfolgendem internen Link beschrieben, voraus:

Ab hier werden root-Rechte zur Ausführung der nachfolgenden Befehle benötigt. Um root zu werden geben Sie bitte folgenden Befehl ein:

$ su -
Password: 

Installation

Zur Installation des Apache HTTP Server-Moduls mod_ldap und mod_authnz_ldap muss nachfolgendes Paket

  • mod_ldap - ist im base-Repository von CentOS enthalten

installiert werden.

Mit nachfolgendem Befehl, wird das Pakete mod_ldap installiert:

# yum install mod_ldap
Loaded plugins: changelog, priorities
61 packages excluded due to repository priority protections
Resolving Dependencies
--> Running transaction check
---> Package mod_ldap.x86_64 0:2.4.6-18.el7.centos will be installed
--> Processing Dependency: apr-util-ldap for package: mod_ldap-2.4.6-18.el7.centos.x86_64
--> Running transaction check
---> Package apr-util-ldap.x86_64 0:1.5.2-6.el7 will be installed
--> Finished Dependency Resolution

Changes in packages about to be updated:


Dependencies Resolved

================================================================================
 Package             Arch         Version                   Repository     Size
================================================================================
Installing:
 mod_ldap            x86_64       2.4.6-18.el7.centos       updates        58 k
Installing for dependencies:
 apr-util-ldap       x86_64       1.5.2-6.el7               base           19 k

Transaction Summary
================================================================================
Install  1 Package (+1 Dependent package)

Total download size: 76 k
Installed size: 134 k
Is this ok [y/d/N]: y
Downloading packages:
(1/2): apr-util-ldap-1.5.2-6.el7.x86_64.rpm                |  19 kB   00:00
(2/2): mod_ldap-2.4.6-18.el7.centos.x86_64.rpm             |  58 kB   00:00
--------------------------------------------------------------------------------
Total                                              224 kB/s |  76 kB  00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : apr-util-ldap-1.5.2-6.el7.x86_64                             1/2
  Installing : mod_ldap-2.4.6-18.el7.centos.x86_64                          2/2
  Verifying  : apr-util-ldap-1.5.2-6.el7.x86_64                             1/2
  Verifying  : mod_ldap-2.4.6-18.el7.centos.x86_64                          2/2

Installed:
  mod_ldap.x86_64 0:2.4.6-18.el7.centos

Dependency Installed:
  apr-util-ldap.x86_64 0:1.5.2-6.el7

Complete!

Mit nachfolgendem Befehl kann überprüft werden, welche Inhalte mit dem Paket mod_ldap installiert wurden.

# rpm -qil mod_ldap
Name        : mod_ldap
Version     : 2.4.6
Release     : 18.el7.centos
Architecture: x86_64
Install Date: Fri 28 Nov 2014 08:21:11 AM CET
Group       : System Environment/Daemons
Size        : 125805
License     : ASL 2.0
Signature   : RSA/SHA256, Wed 23 Jul 2014 05:21:37 PM CEST, Key ID 24c6a8a7f4a80eb5
Source RPM  : httpd-2.4.6-18.el7.centos.src.rpm
Build Date  : Wed 23 Jul 2014 04:49:10 PM CEST
Build Host  : worker1.bsys.centos.org
Relocations : (not relocatable)
Packager    : CentOS BuildSystem <http://bugs.centos.org>
Vendor      : CentOS
URL         : http://httpd.apache.org/
Summary     : LDAP authentication modules for the Apache HTTP Server
Description :
The mod_ldap and mod_authnz_ldap modules add support for LDAP
authentication to the Apache HTTP Server.
/etc/httpd/conf.modules.d/01-ldap.conf
/usr/lib64/httpd/modules/mod_authnz_ldap.so
/usr/lib64/httpd/modules/mod_ldap.so

Konfiguration

Das Laden des Apache HTTP Server-Moduls mod_ldap und mod_authnz_ldap wird in nachfolgender Konfigurationsdatei durchgeführt:

  • /etc/httpd/conf.modules.d/01-ldap.conf

/etc/httpd/conf.modules.d/01-ldap.conf

Die Konfigurationsdatei /etc/httpd/conf.modules.d/01-ldap.conf beinhaltet die Integration von mod_ldap und mod_authnz_ldap in den Apache HTTP Server.

:!: HINWEIS - Hier werden aktuell KEINE Anpassungen vorgenommen, da nur das Laden der Apache HTTP Server-Module mod_ldap und mod_authnz_ldap in dieser Konfigurationsdatei konfiguriert wird!

(komplette Konfigurationsdatei)

# This file configures the LDAP modules:
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so

/ect/httpd/conf.d/httpd-info.conf

Als Beispiel für den Zugriff zur Authentifizierung gegen einen LDAP-Server, soll in nachfolgender Konfiguration der Schutz des Aufrufs der URL:

durchgeführt werden.

Wie die Zusatz-Konfiguration der Konfigurationsdatei

  • /ect/httpd/conf.d/httpd-info.conf

eingebunden sein sollte, zeigt nachfolgender interner Link:

Nachfolgende Anpassungen müssen durchgeführt werden, um eine Authentifizierung beim Zugriff auf die URL - http://www.tachtler.net/server-status - durchgeführt werden kann:

:!: HINWEIS - Die nachfolgenden Anpassungen sind individuell und vom jeweiligen Einsatzzweck abhängig und ggf. den persönlichen Bedürfnissen anzupassen!

Die Anpassungen werden mit einem vorangestellten Kommentar in der Form

# Tachtler
gekennzeichnet.

(komplette Konfigurationsdatei)

#
# Get information about the requests being processed by the server
# and the configuration of the server.
#
# Required modules: mod_authz_core, mod_authz_host,
#                   mod_info (for the server-info handler),
#                   mod_status (for the server-status handler)
 
#
# Allow server status reports generated by mod_status,
# with the URL of http://servername/server-status
# Change the ".example.com" to match your domain to enable.
 
<Location /server-status>
    SetHandler server-status
    # Tachtler
    # default: Require host .example.com
    Require host .tachtler.net
    # Tachtler
    # default: Require ip 127
    #Require ip 127
    # Tachtler - LDAP - new
    Satisfy any
    AuthType Basic
    AuthName "Apache HTTP Server-Status (apache090.tachtler.net)"
    AuthBasicProvider ldap
    AuthLDAPURL "ldap://ldap.idmz.tachtler.net:389/dc=tachtler,dc=net?uid"
    AuthLDAPBindDN "cn=Ersatzbenutzer,dc=tachtler,dc=net"
    AuthLDAPBindPassword "geheim"
    Require ldap-user klaus    
</Location>
 
#
# ExtendedStatus controls whether Apache will generate "full" status
# information (ExtendedStatus On) or just basic information (ExtendedStatus
# Off) when the "server-status" handler is called. The default is Off.
#
# Tachtler
# default: #ExtendedStatus On
ExtendedStatus On
 
#
# Allow remote server configuration reports, with the URL of
#  http://servername/server-info (requires that mod_info.c be loaded).
# Change the ".example.com" to match your domain to enable.
#
<Location /server-info>
    SetHandler server-info
    # Tachtler
    # default: Require host .example.com
    Require host .tachtler.net
    # Tachtler
    # default: Require ip 127
    #Require ip 127
    # Tachtler - LDAP - new
    Satisfy any
    AuthType Basic
    AuthName "Apache HTTP Server-Info (apache090.tachtler.net)"
    AuthBasicProvider ldap
    AuthLDAPURL "ldap://ldap.idmz.tachtler.net:389/dc=tachtler,dc=net?uid"
    AuthLDAPBindDN "cn=Ersatzbenutzer,dc=tachtler,dc=net"
    AuthLDAPBindPassword "geheim"
    Require ldap-user klaus      
</Location>

Erklärungen:

Satisfy

Die Direktive Satisfy any bewirkt, das ggf auch vorherige Direktiven zum Zugriff berücksichtigt werden.

  • Satisfy any - Eine der Beschränkungen muss erfüllt sein.
  • Satisfy all - Alle Beschränkungen müssen erfüllt sein.

AuthType

Die Direktive AuthType Basic bestimmt den Typ der Methode der Authentifizierung. Nachfolgende Authntifizerungstypen sind möglich:

  • None
  • Basic (benötigt mod_auth_basic)
  • Digest (benötigt mod_auth_digest)
  • Form (benötigt mod_auth_form)

AuthName

Die Direktive AuthName „Apache HTTP Server-Info (apache090.tachtler.net)“ präsentiert die angegebene Zeichenkette im Authentifizierungsdialog. Die erleichtert die Unterscheidung, welcher Benutzername und welches Passwort eingegeben werden muss, da es den Zugriff noch einmal, zusätzlich zur URL, identifiziert.

AuthBasicProvider

Die Direktive AuthBasicProvider ldap bestimmt, gegen welches System (Datei, LDAP, Datenbank usw.) letztendlich authentifiziert werden soll.

AuthLDAPURL

Die Direktive

  • AuthLDAPURL "ldap://ldap.idmz.tachtler.net:389/dc=tachtler,dc=net?uid"

bestimmt den

  • LDAP-Zugriffstyp
  • LDAP-Server-URL
  • LDAP-Server-Port
  • LDAP-Eintrag im LDAP-Baum
  • LDAP-Eintrag Feld in dem der Benutzername steht

zur Überprüfung des Benutzernamens und des dazugehörigen Passwortes.

AuthLDAPBindDN

Die Direktive

  • AuthLDAPBindDN "cn=Ersatzbenutzer,dc=tachtler,dc=net"

wird NUR benötigt, falls ein „anonymouse bind“ nicht erlaubt ist, d.h. keine unautorisierten Anfragen gegen den LDAP-Server gestattet sind, sondern NUR Anfragen mit Autorisierung und stellt den Benutzer dar, der als Hilfsbenutzer zum bind gegen den LDAP-Server verwendet werden soll.

AuthLDAPBindPassword

Die Direktive

  • AuthLDAPBindPassword "geheim"

wird NUR benötigt, falls ein „anonymouse bind“ nicht erlaubt ist, d.h. keine unautorisierten Anfragen gegen den LDAP-Server gestattet sind, sondern NUR Anfragen mit Autorisierung und stellt das dazugehörige Passwort des Benutzers dar, der als Hilfsbenutzer zum bind gegen den LDAP-Server verwendet werden soll.

Require

Die Direktive Require ldap-user klaus testet, ob der angegebene Benutzer, hier klaus, ein gütiger LDAP-Benutzer in diesem LDAP-Kontext ist. Eine Mehrfachnennung ist ebenfalls möglich.

LDAPS

Um auch noch LDAPS nutzen zu können, sind ein paar zusätzliche Konfigurationsänderungen erforderlich!

/etc/pki/openldap/certs/CAcert.pem

Das unter nachfolgendem internen Link

erstellte Zertifikat, soll nun ebenfalls auf dem Server kopiert werden, damit das erzeugte Self-signed-certificate durch den Apache HTTP Server akzeptiert und genutzt werden kann.

Als erstes soll eine neue Verzeichnisstruktur mit nachfolgendem erzeugt werden, die als Ablageort des vom LDAP-Server kopiertes Self-signed-certificate genutzt werden kann:

# mkdir -p /etc/pki/openldap/certs

Anschließend soll nun das Zertifikat, welches vom LDAP-Server kopiert werden muss in das nachfolgende Verzeichnis mit dem nachfolgendem Namen, abgelegt werden. Dies sollte dann eine Ausgabe wie die nachfolgende, durch nachfolgenden Befehl ergeben:

# ls -l /etc/pki/openldap/certs
total 8
-rw-r--r-- 1 root root 4557 Nov 28 09:51 CAcert.pem

/etc/httpd/conf/httpd.conf

Nachfolgend soll die Hauptkonfigurationsdatei - /etc/httpd/conf/httpd.conf entsprechend angepasst werden.

:!: HINWEIS - Die nachfolgenden Anpassungen sind individuell und vom jeweiligen Einsatzzweck abhängig und ggf. den persönlichen Bedürfnissen anzupassen!

Die Anpassungen werden mit einem vorangestellten Kommentar in der Form

# Tachtler
gekennzeichnet.

(nur relevanter Ausschnitt)

...
# Tachtler - new -
# LDAPS extended configuration.
<IfModule ldap_module>
        <IfModule authnz_ldap_module>
                LDAPTrustedGlobalCert CA_BASE64 /etc/pki/openldap/certs/CAcert.pem
                LDAPVerifyServerCert Off
        </IfModule>
</IfModule>
 
# Supplemental configuration
#
# Load config files in the "/etc/httpd/conf.d" directory, if any.
IncludeOptional conf.d/*.conf

Erklärungen:

LDAPTrustedGlobalCert

Die Direktive LDAPTrustedGlobalCert CA_BASE64 /etc/pki/openldap/certs/CAcert.pem bezeichnet Ein Verzeichnis und einen Dateinamen eines zu vertrauendem CertificateAuthority (CA) Zertifikates, welches durch mod_ldap genutzt werden soll, wenn eine Verbindung zu einem LDAPS-Server via SSL oder TLS aufgebaut werden soll.

LDAPVerifyServerCert

Die Direktive LDAPVerifyServerCert Off schaltet die Überprüfung eines Self-signed-certificates aus, da dieses logischerweise nicht von einem Drittanbieter stammt, sondern selbst erzeugt ist.

/etc/pki/tls/certs/ca-bundle.crt

Um das Zertifikat

  • /etc/pki/openldap/certs/CAcert.pem

auch im System zu hinterlegen, sind nachfolgende Tätigkeiten erforderlich.

Im Verzeichnis

  • /etc/pki/ca-trust/source/anchors

können Zertifikate im Format PEM hinterlegt werden und anschließend dem BUNDLE-File

  • /etc/pki/tls/certs/ca-bundle.crt, welches auf /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem

verweist hinzugefügt werden.

Dazu ist es erforderlich den Teil des Zertifikates /etc/pki/openldap/certs/CAcert.pem, welcher wie folgt aussieht:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
zu extrahieren und anschließend in eine neue Datei im Verzeichnis

  • /etc/pki/ca-trust/source/anchors

zu hinterlegen.

Nachfolgender Befehl extrahiert den benötigten Teil aus der Zertifikatsdatei /etc/pki/openldap/certs/CAcert.pem:

# tail -n 23 /etc/pki/openldap/certs/CAcert.pem > /etc/pki/ca-trust/source/anchors/CAcert.pem

Der Inhalt der so neu entstandenen Datei - /etc/pki/ca-trust/source/anchors/CAcert.pem, kann mit nachfolgendem Befehl überprüft werden:

# cat /etc/pki/ca-trust/source/anchors/CAcert.pem
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Abschließend muss dann mit nachfolgendem Befehl das Zertifikat aus der Datei

  • /etc/pki/ca-trust/source/anchors/CAcert.pem

der Datei

  • /etc/pki/tls/certs/ca-bundle.crt, welche auf /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem

verlinkt hinzugefügt werden:

# update-ca-trust

Eine Überprüfung, ob das Zertifikat aus der Datei

  • /etc/pki/ca-trust/source/anchors/CAcert.pem

der Datei

  • /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem

tatsächlich hinzugefügt wurde, kann mit nachfolgendem Befehl durchgeführt werden:

# head -n 106 /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem | tail -n 23
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

:!: HINWEIS - Bitte die Zeilennummer ggf. anpassen !!!

AuthLDAPURL

Dementsprechend kann nun die Direktive

  • AuthLDAPURL "ldap://ldap.idmz.tachtler.net:389/dc=tachtler,dc=net?uid"

wie folgt

  • AuthLDAPURL "ldaps://ldap.idmz.tachtler.net:636/dc=tachtler,dc=net?uid"

abgeändert werden und bestimmt nun

  • LDAPS-Zugriffstyp - NEU: ldaps
  • LDAPS-Server-URL
  • LDAPS-Server-Port - NEU: Port 636
  • LDAP(S)-Eintrag im LDAP-Baum
  • LDAP(S)-Eintrag Feld in dem der Benutzername steht

zur Überprüfung des Benutzernamens und des dazugehörigen Passwortes.

Neustart

Nach den vorangegangenen Konfigurationsschritten, sollte einem Neustart nichts im Wege stehen:

# systemctl restart httpd.service

:!: HINWEIS - Es erfolgen keine weiteren Ausgaben, wenn der Start erfolgreich war !

Überprüfung

Der Aufruf z.B. der URL:

sollte nachfolgende Anzeige zum Vorschein bringen:

CentOS-7 - Apache - Server-Status - LDAP-Schutz

bevor die Seite tatsächlich angezeigt werden kann.

Cookies helfen bei der Bereitstellung von Inhalten. Durch die Nutzung dieser Seiten erklären Sie sich damit einverstanden, dass Cookies auf Ihrem Rechner gespeichert werden. Weitere Information
tachtler/apache_http_server_centos_7_-_mod_ldap_-_ldap-authentifizierung.txt · Zuletzt geändert: 2016/12/16 07:31 von klaus