13

这在 Apache2.2 中完美运行,但在 2.4 中不适用(我现在需要使用 2.4):

<AuthnProviderAlias ldap myldap>
  AuthLDAPBindDN cn=Manager,dc=example,dc=com
  AuthLDAPBindPassword xxxx
  AuthLDAPURL ldap://localhost:9011/dc=example,dc=com?uid?sub?(objectClass=*)
</AuthnProviderAlias>

Listen 48443
<VirtualHost myserver:48443>
 <Directory /path/to/a/folder>
        Options +ExecCGI +FollowSymLinks +SymLinksIfOwnerMatch
        AllowOverride All
        order allow,deny
        Allow from all

        AuthBasicProvider myldap mySecondLdap myThirdLdap ...

        AuthType Basic
        AuthName "LDAP authentication for folder"
        Require valid-user
        ...
  </Directory>
</VirtualHost>

直接使用来自Apache 2.4 mod_authnz_ldap的指令在以下<Directory >部分有效:

AuthLDAPBindDN cn=Manager,dc=example,dc=com
AuthLDAPBindPassword xxx
AuthLDAPURL ldap://localhost:9011/dc=example,dc=com?uid?sub?(objectClass=*)
AuthBasicProvider ldap

这只允许对一个LDAP 服务器进行身份验证,并且我必须对至少两个进行身份验证。
因此,使用AuthnProviderAlias现在 (2.4)mod_authn_core核心身份验证模块的一部分,而不是旧的2.2 LDAP 身份验证模块mod_authn_alias

我已经在调试模式下使用APR 1.4.8 和 APR-util 1.5.2编译了所有 2.4.x 版本(从 2.4.1 到 2.4.6,甚至是当前版本) ( -g -O0

我尝试的是调试会话(gdb --command=debug,带有 ' debug' 的 gdb 参数文件如下):

file /home/vonc/usr/local/apps/apache/bin/httpd
set logging file /home/vonc/gdb.txt
set logging on
set args -X
show args
set breakpoint pending on

# authn_alias_check_password
b mod_authn_core.c:115
# authaliassection
b mod_authn_core.c:203
b mod_authn_core.c:255

run
wh
fs next
where

我看到的是:

该函数得到authcfg

authn_alias_srv_conf *authcfg =
    (authn_alias_srv_conf *)ap_get_module_config(r->server->module_config,
                                                 &authn_core_module);

并使用正确的名称' '和正确的别名' '设置提供者ldapmyldap

apr_hash_set(authcfg->alias_rec, provider_alias, APR_HASH_KEY_STRING, prvdraliasrec);

但是:当需要检查密码时(在 中authn_alias_check_password,它会authcfg再次获取,并获取提供者

    provider_alias_rec *prvdraliasrec = apr_hash_get(authcfg->alias_rec,
                                                     provider_name, APR_HASH_KEY_STRING);

它使用正确provider_name的' myldap',......并且总是返回null
这意味着prvdraliasrec->provider->check_password永远不会被调用。

http-dev 邮件列表中的一个类似问题(2013 年 8 月 23 日“AuthnProviderAlias 在 2.4 中是否被巧妙地破坏了?”)......没有得到解答。

您将如何解决此错误?

4

2 回答 2

4

该错误是由于提供程序及其使用在不同的服务器上下文中造成的。

  • mod_authn_core 提供 AuthType,这会导致为 VH 中的 authn_core 创建每服务器配置
  • 该模块没有实现合并功能
  • server->module_config 将始终为空。

解决方法:在 VH 上下文之外定义您的身份验证,或者如果您可以轻松重建,请尝试此补丁:http: //people.apache.org/~covener/patches/authprovider.diff

Index: modules/aaa/mod_authn_core.c
===================================================================
--- modules/aaa/mod_authn_core.c    (revision 40703)
+++ modules/aaa/mod_authn_core.c    (working copy)
@@ -179,6 +179,12 @@
     return (void *) authcfg;
 }

+/* Only per-server directive we have is GLOBAL_ONLY */
+static void *merge_authn_alias_svr_config(apr_pool_t *p, void *basev, void *overridesv)
+{
+    return basev;
+}
+
 static const authn_provider authn_alias_provider =
 {
     &authn_alias_check_password,
@@ -373,7 +379,7 @@
     create_authn_core_dir_config,   /* dir config creater */
     merge_authn_core_dir_config,    /* dir merger --- default is to override */
     create_authn_alias_svr_config,  /* server config */
-    NULL,                           /* merge server config */
+    merge_authn_alias_svr_config,   /* merge server config */
     authn_cmds,
     register_hooks                  /* register hooks */
 };
于 2014-01-03T01:50:28.150 回答
0

我找到的唯一可行的解​​决方案是 patch mod_authn_core.c,添加 2 个全局变量,一个用于我想要使用的每个 LDAP 别名。

这看起来很难看:两个 LDAP 别名在代码中是硬编码的。

请参阅提交 2f691a6

provider_alias_rec *prvdraliasrec_myldap;
provider_alias_rec *prvdraliasrec_companyldap;

这样,merge_authn_core_dir_config()专门寻找这两个别名来注册它们。

if (!prvdraliasrec && strcmp(provider_name,"myldap")==0) {
  prvdraliasrec=prvdraliasrec_myldap; 
}
if (!prvdraliasrec && strcmp(provider_name,"companyldap")==0) {
  prvdraliasrec=prvdraliasrec_companyldap;
}

authaliassection()取回那些别名定义

if ( strcmp(provider_alias,"myldap") == 0 ) { 
  prvdraliasrec_myldap = prvdraliasrec;
}
if ( strcmp(provider_alias,"companyldap") == 0 ) {
  prvdraliasrec_companyldap = prvdraliasrec;
}

它有效,但它肯定不是“正确”的解决方案。

于 2013-11-29T18:59:25.543 回答