Re: Debian Apache2 et LDAP

トップ ページ

このメッセージに返信
著者: Yves Martin
日付:  
To: guilde
題目: Re: Debian Apache2 et LDAP
----- Mail original -----
> De: "Christian Bayle" <gnulists@???>
> À: guilde@???
> Envoyé: Jeudi 11 Juillet 2013 23:51:31
> Objet: Re: Debian Apache2 et LDAP
>
> On 11/07/2013 22:05, Yves Martin wrote:
> > On Wed, 2013-07-10 at 23:53 +0200, Christian Bayle wrote:
> >> Salut,
> >>
> >> j'ai comme l'impression que le kerberos passe pas sur ta prod,
> >> et si tu fais que la partie kerberos, ça dit quoi, c'est la même
> >> chose
> >> des 2 cotés ?
> >> juste le AuthType Kerberos / require valid-user
> > Bonjour et merci pour ces vérifications,
> >
> > Le kerberos est OK, aucun problème de configuration, keytab...
> >
> > Le serveur reçois bien le token SPNEGO et le userPrincipalName
> > yma@??? qui est ensuite retrouvé par LDAP sous forme de
> > "DN".
> Pour ce maping il me semble qu'il y a quelque chose dans la conf ldap
> Peut être que tu peux vérifier avec ldapwhoami
> en faisant un kinit sur chaque serveur si cela fait bien un maping


Bon, j'ai finalement trouvé. Mon setup mixte Kerberos/LDAP passe par un chemin qui donne un message d'erreur "spécifique":
    auth_ldap authorise: User DN not found, ldap_search_ext_s() for user failed
Mais que Google ne trouve pas.


Si on cherche uniquement "ldap_search_ext_s() for user failed", toutes les références vous proposeront
d'ajouter "REFERRALS off" dans /etc/ldap/ldap.conf

Et effectivement, ma prod fonctionne.
Sans pour autant expliquer pourquoi l'absence de cette option ne gênait pas la préproduction...

Merci pour votre aide
Yves