Thread "Anbindung an LDAP/AD - Strong(er) authentication required "
Tabs
-
Deleted | 25. Jan 2017, 11:55
Anbindung an LDAP/AD - Strong(er) authentication requiredHallo Zusammen,
ich bin gerade dabei eine aktuelle ILIAS Installation aufzusetzen und möchte hier nun die Benutzerverwaltung direkt über das bestehende Active Directory machen, um keine zusätzliche Benutzerpflege in ILIAS zu haben.
Mit den bereitgestellten Dokus bin ich, glaube ich, schon recht weit gekommen, nur bin ich jetzt an einem Punkt, wo der letzte Schritt noch irgendwie fehlt.
Die ILIAS Installation ist auf einem Windows 2K8R3 Server mit XAMPP (Version 5.5.38 mit Apache 2.4.23 und PHP 5.5.38). Das hat bisher alles funkioniert. Nun komme ich mit der Anbindung an das AD nicht mehr weiter.
Ich erhalte diese Meldung im ILIAS Log wenn ich TLS nicht angehakt habe:
8 LDAP: Cannot bind as CN=techn. User Ilias Bind,OU=Benutzer,OU=Root,DC=XXX,DC=XXX,DC=XXX,DC=DE with message: Strong(er) authentication required Trying fallback...
Die Anmeldung wird abgelehnt. Normale Anmeldemaske.
Aktiviere ich TLS, dann bekomme ich im Logfile diese Meldung:
[51co7] [2017-01-24 15:08:09.908329] ILIAS_root.WARNING: ilErrorHandling::{closure}:50 PHP Error: ldap_start_tls(): Unable to start TLS: Connect error in D:\DATEN\xampp\htdocs\iliasgit\Services\LDAP\classes\class.ilLDAPQuery.php on line 497
[51co7] [2017-01-24 15:08:09.939532] ILIAS_root.WARNING: ilErrorHandling::{closure}:50 PHP Fatal error: Call to a member function loadLanguageModule() on a non-object in D:\DATEN\xampp\htdocs\iliasgit\error.php on line 9Im Browser sehe ich diese Meldung:
Fatal error: Call to a member function loadLanguageModule() on a non-object in D:\DATEN\xampp\htdocs\iliasgit\error.php on line 9
Warning: include_once(./Services/Logging/classes/public/class.ilLogLevel.php): failed to open stream: No such file or directory in D:\DATEN\xampp\htdocs\iliasgit\Services\Init\classes\class.ilErrorHandling.php on line 439
Warning: include_once(): Failed opening './Services/Logging/classes/public/class.ilLogLevel.php' for inclusion (include_path='./Services/PEAR/lib;./Services/OpenId/lib;.;D:\Daten\xampp\php\PEAR') in D:\DATEN\xampp\htdocs\iliasgit\Services\Init\classes\class.ilErrorHandling.php on line 439
Warning: include_once(./Services/Logging/classes/public/class.ilLogLevel.php): failed to open stream: No such file or directory in D:\DATEN\xampp\htdocs\iliasgit\Services\Logging\classes\class.ilLogger.php on line 96
Warning: include_once(): Failed opening './Services/Logging/classes/public/class.ilLogLevel.php' for inclusion (include_path='./Services/PEAR/lib;./Services/OpenId/lib;.;D:\Daten\xampp\php\PEAR') in D:\DATEN\xampp\htdocs\iliasgit\Services\Logging\classes\class.ilLogger.php on line 96
Fatal error: Call to a member function loadLanguageModule() on a non-object in D:\DATEN\xampp\htdocs\iliasgit\error.php on line 9
Fatal error: Call to a member function get() on a non-object in D:\DATEN\xampp\htdocs\iliasgit\Services\Authentication\classes\class.ilSession.php on line 294Ich habe schon versucht, nun Kerberos zum laufen zu bekommen, ob es vielleicht daran liegt, aber hier wird mir das Laden das Moduls mod_auth_kerb.so abgelehnt. Wahrscheinlich ist das Modul nicht das richtige... Online finde ich es nur für die Version 2.2, und darum wird es wohl nicht laufen.
Hat vielleicht jemand einen Tipp?
Vielen Dank vorab!
Viele Grüße
Alexander Fritz
-
ILIAS_LM | ILIAS_LM (Moderation) | 25. Jan 2017, 13:42
Re: Anbindung an LDAP/AD - Strong(er) authentication requiredBis "unser" Kerberos-Spezialist Ingo Jakisch hier auftaucht, helfen vielleicht folgende Links weiter, falls sie auf die eigene Situation adaptierbar sind:
http://www.ilias.de/docu/goto_docu_pg_56872_367.html (aus der Maintenance-Doku, vermutlich schon bekannt)
http://www.ilias.de/docu/goto_docu_file_4236_download.html (insbesondere die Fallstricke, wobei das Dokument aus dem Jahre 2014 stammt)
Das sind leider nicht meine Baustellen...
-
Deleted | 25. Jan 2017, 13:57
Re (2): Anbindung an LDAP/AD - Strong(er) authentication requiredHallo,
vielen Dank für die Links.
Die Doku hatte ich in der Tat auch schon angeschaut, die Präsentation hat auch etwas für mein Verständnis getan. Leider bin ich an Windows gebunden, was mir dann doch das ein oder andere schwerer macht.
Das Kerberos habe ich (versucht) über dieses HowTo zu installieren https://www.schaeuffelhut-berger.de/wordpress/apache-single-sign-on-in-windows/ nur leider habe ich kein passendes mod_auth_kerb.so Modul für Apache 2.4 gefunden. Das Modul aus dem HowTo verweigert den Start des Apachedienstes.
-
Deleted | 7. Feb 2017, 13:24
Re: Re (2): Anbindung an LDAP/AD - Strong(er) authentication requiredMoin
musste gerade eine Installation hinfumpen, dabei gleiche Fehlermeldung gehabt->xsendfile ist das Zauberwort,
Ilias.log : -> ilErrorHandling::{closure}:50 PHP Error: Could not store the client salt in: pfad zum client_data_verzeichniss
Lösung hier-> The Apache-Module can be installed (on Debian/Ubuntu) with:
sudo apt-get install libapache2-mod-xsendfilesudo a2enmod xsendfile
In your Apache-Config or VHOST the "iliasdata"- and the "data"- directories must be unlocked, e.g.:XSendFilePath /var/wwwXSendFilePath /var/iliasdatahttp://www.ilias.de/docu/goto_docu_pg_15926_367.html
grüsse
Ralf-Peter
-
Deleted | 7. Feb 2017, 13:44
Re (2): Re (2): Anbindung an LDAP/AD - Strong(er) authentication requiredHallo Ralf-Peter,
vielen Dank für Deine Antwort, hab damit jedoch leider ein bis zwei Probleme...
Zum einen habe ich leider keine Linux Installation als Webserver laufen, sondern einen Windowsserver mit XAMPP. Bezüglich der Installation des Moduls finde ich leider auch nur Linux HowTos.
Zum anderen, meinst du, dass dieses Modul bei mir auch den Fehler behebt? Mein Feher ist doch etwas anders aus:
ilErrorHandling::{closure}:50 PHP Error: ldap_start_tls(): Unable to start TLS: Connect error in....
Vielleicht hast Du mir einenen Tipp, wie ich das Modul unter Windows zum laufen bekomme, dann könnte ich es testen.
Vielen Dank vorab!
Grüße
Alex
-
Deleted | 7. Feb 2017, 14:34
Re: Re (2): Re (2): Anbindung an LDAP/AD - Strong(er) authentication requiredhm, ja, hm
meine Vermutung ist aber schon, das da nix durch WAC durchläuft, weil da irgendwas gespeichert werden muss, TLS ja eher security, vermutlich muss dafür was geschrieben werden, was ohne xsendfile nicht dur den WAC rauscht (WebAccessChecker)
xampp keine Ahnung, sorry...
Erweiterungen?
Components?
-
Deleted | 10. Feb 2017, 15:55
Re(2): Re (2): Re (2): Anbindung an LDAP/AD - Strong(er) authentication requiredHi,
ob xsendfile hilft, kann ich nicht sagen, aber du kannst xsendfile module hier runterladen:
https://tn123.org/mod_xsendfile/
danach suchst du den richtigen pfad zu apxs oder apxs2 in xammp verzeichnis dann
compile und installiere es etwa so:
c://pathToapaxs/apxs -cia mod_xsendfile.c -
fschmid | fschmid | 10. Feb 2017, 16:05
Edited on: 10. Feb 2017, 16:13 - by fschmid | fschmidRe(3): Re (2): Re (2): Anbindung an LDAP/AD - Strong(er) authentication requiredHallo zusammen
Ich kann mir (aus Sicht Maintainer WebAccessChecker, FileDelivery und damit xSendFile) in keiner Weise vorstellen wir die initial beschriebenen LDAP-Probleme mit XSendFile zusammenhängen können. Ich würde nicht zu viel Zeit in diese Richtung investieren.
0 PHP Error: ldap_start_tls(): Unable to start TLS: Connect
Das Problem scheint zu sein, dass PHP keine gültige TLS-Verbindung zu dem LDAP aufbauen kann, aus meiner Sicht musst du zuerst LDAP-konfigurieren oder ein gültigfes Zertifikat auf dem LDAP-Server in Betrieb nehmen.
http://stackoverflow.com/questions/2689629/how-do-i-solve-ldap-start-tls-unable-to-start-tls-connect-error-in-php