Hallo Zusammen,

Ich habe die Aufgabe die Autorisierung auf einem Apache 2 umzustellen.

Momentan läuft die Autorisierung über generierte User und Gruppen Files.

Zukünftig sollen User über LDAP authentifiziert werden und anschließend in einem Gruppen File nach der Berechtigung gesehen werden.

Die ganze Geschichte geschieht in .htacces Files.

Bestes Ergebnis dass ich bisher erzielen konnte war folgendes:

User gibt richtigen Benutzernamen + Passwort ein und ist in der Gruppe -> Zugang
User gibt richtigen Benutzernamen + Passwort ein ist aber _nicht_ in der Gruppe -> 'Internal Server Error'
User gibt falschen Benutzernamen ein (Passwort egal) -> 'Internal Server Error'

Ich kann die Fehler alle nachvollziehen, doch erstmal die  .htaccess-Datei:

AuthLDAPEnabled On
AuthLDAPURL ldap://XXXXX
AuthLDAPBindDN "XXXXX"
AuthLDAPBindPassword XXXXX
AuthLDAPAuthoritative Off

AuthUserFile /XXXX/user-leer (<- leeres Userfile )
AuthGroupFile /XXXXX/groups.new
AuthAuthoritative Off

AuthName "XXXXXX"
AuthType Basic
<Limit GET POST PUT>
require group Group1
</Limit>

Der 'Internal Server Error' kommt wohl daher, dass bei beiden Modulen 'Authoritative Off' angegeben ist und er dann am Ende, falls User+Gruppe nicht korrekt sind, an ein weiteres Modul weitergeben will welches aber nicht existiert.

Soweit so gut.

Da aber 'mod_auth' anscheinend eine höhere Priorität als 'mod_auth_ldap' hat ist es nicht möglich eines der Authoritativen auf On zu stellen.
(Die Reihenfolge in der wir die Module laden, hatte keinen Einfluss)

Würde ich 'AuthAuthoritative On' stellen, so würde man den User nicht im leeren Userfile finden und hier beenden.

Stelle ich 'AuthLDAPAuthoritative On', so kann er zwar den User identifizieren aber es wird nicht weiter auf die Gruppe im File geprüft - Allerdings wird geprüft ob er in der Gruppe im LDAP ist.

Ich denke wenn man die Reihenfolge ändern würde, zuerst soll im LDAP gesucht werden dann im File, könnt man AuthAuthoritative On stellen:

User wird im LDAP gesucht,
falls vorhanden wird nach der Gruppezugehörigkeit in LDAP gesucht.
Kein Erfolg -> nächstes Modul: mod_auth
Nun wird im Gruppenfile gesucht.

Sollte nichts matchen, ist die Authentifizierung fehlgeschlagen.

Nach meinen Recherchen könnte man die Reihenfolge durch 'AuthBasicProvider' bestimmen, dazu braucht man allerdings ein extra Modul 'mod_auth_basic' welches wir nicht haben.

Die .htaccess-Datei würde dann in etwa so aussehen:

AuthBasicProvider ldap file
AuthLDAPEnabled On
AuthLDAPURL ldap://XXXXX
AuthLDAPBindDN "XXXXX"
AuthLDAPBindPassword XXXXX
AuthLDAPAuthoritative Off

AuthUserFile /XXXXX/user-leer (<- leeres Userfile )
AuthGroupFile /XXXXX/groups.new
AuthAuthoritative On

AuthName "XXXXXX"
AuthType Basic
<Limit GET POST PUT>
require group Group1
</Limit>

Also folgende Fragen habe ich:

1. Ist meine Vermutung richtig, dass ein Tauschen der Reihenfolge zum gewünschten Ergebnis führt?

2. Stimmt es, dass ich das Module 'mod_auth_basic' brauche und anschließend das Kommando 'AuthBasicProvider ldap file' verwenden kann um die Reihenfolge zu ändern?

PS: Um dieses Modul zu implementieren würde das über mehrere Instanzen laufen, daher will ich zuerst sicher gehen.

Ich freue mich auf Antworten, Vielen Dank schonmal.