3 votos

Autenticación OpenLDAP UID vs CN problemas

Estoy teniendo problemas para autenticar servicios usando uid para la autenticación, que pensé que era el método estándar para la autenticación en el usuario. Así que, básicamente, mis usuarios se agregan en ldap como este:

# jsmith, Users, example.com
dn: uid=jsmith,ou=Users,dc=example,dc=com
uidNumber: 10003
loginShell: /bin/bash
sn: Smith
mail: jsmith@example.com
homeDirectory: /home/jsmith
displayName: John Smith
givenName: John
uid: jsmith
gecos: John Smith
gidNumber: 10000
cn: John Smith
title: System Administrator

Pero cuando intento autenticarme usando webapps típicas o servicios como este:

jsmith
password

Lo entiendo:

ldapsearch -x -h ldap.example.com -D "cn=jsmith,ou=Users,dc=example,dc=com" -W -b "dc=example,dc=com"
Enter LDAP Password:
ldap_bind: Invalid credentials (49)

Pero si uso:

ldapsearch -x -h ldap.example.com -D "uid=jsmith,ou=Users,dc=example,dc=com" -W -b "dc=example,dc=com"

Funciona.

SIN EMBARGO...la mayoría de las webapps y métodos de autenticación parecen usar otro método. Así que en una webapp que estoy usando, a menos que especifique el usuario como: uid=smith,ou=users,dc=example,dc=com Nada funciona.

En la webapp sólo necesito que los usuarios pongan: jsmith en el campo usuario.

Tenga en cuenta mi ldap está utilizando el "nuevo" cn=config método de almacenamiento de ajustes. Así que si alguien tiene un ldif obvio que me estoy perdiendo por favor proporcionar.

Avíseme si necesita más información. Esto es OpenLDAP en Ubuntu 12.04.

2voto

Terry Gardner Puntos 524

En ldapsearch de su ejemplo utiliza BIND simple para cambiar el estado de autorización de la conexión. La operación BIND simple requiere el nombre distinguido y credenciales. El nombre distinguido es uid=jsmith,ou=Users,dc=example,dc=com no cn=jsmith,ou=Users,dc=example,dc=com en la entrada dada como ejemplo.

Esta configuración del servidor de directorio hace que el servidor devuelva el código de resultado de invalid credentials cuando en realidad el nombre distinguido cn=jsmith,ou=Users,dc=example,dc=com no existe. Esta es la configuración recomendada: proporciona menos información a un atacante.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X