
Not directly related to this issue, but a resolution to an annoyance I had...<br><br>It appears that all sorts of docs for Windoze people/machines are everywhere while those of us who have an all-Posix environment are left to fend for ourselves.  Even Apache's documentation doesn't directly address posix hosts (Linux) connecting via Apache authentication back to an LDAP server serving up a UNIX authentication system.<br>

<br>So, the next person who searches for that on our little family list here, I want to help out.<br><br>Here's my solution:<br><br><span class="gI"></span>ScriptAlias /xymon-seccgi/ "/home/xymon/cgi-secure/"<br>

<Directory "/home/xymon/cgi-secure"><br>    AllowOverride None<br>    Options ExecCGI Includes<br>    Order deny,allow<br>    Deny from all<br>    AuthName "Xymon Administration"<br>    AuthType Basic<br>

    AuthBasicProvider ldap<br>    AuthzLDAPAuthoritative Off<br>    AuthLDAPURL ldap://<a href="http://nst-ldap.foo.com/dc=foo,dc=com?uid">nst-ldap.foo.com/dc=foo,dc=com?uid</a><br>    AuthLDAPBindDN "cn=ldapadmin,dc=dc=foo,dc=com"<br>

    AuthLDAPGroupAttribute memberUid<br>    AuthLDAPGroupAttributeIsDN off<br>    AuthLDAPBindPassword PASSWORD<br>    Require ldap-group cn=admins,ou=Group,dc=foo,dc=com<br>    Require ldap-attribute gidNumber=505<br>    Satisfy any<br>

</Directory><br><br>This allows me to authenticate against the store as any member of the group "admins" that has a Group ID in Linux-land of 505.<br><br>For just a user anywhere in the store:<br><br>ScriptAlias /xymon-seccgi/ "/home/xymon/cgi-secure/"<br>

<Directory "/home/xymon/cgi-secure"><br>    AllowOverride None<br>    Options ExecCGI Includes<br>    Order allow,deny<br>    Allow from all<br>    AuthName "Xymon Administration"<br>    AuthType Basic<br>

    AuthBasicProvider ldap<br>    AuthzLDAPAuthoritative Off<br>    AuthLDAPURL ldap://<a href="http://nst-ldap.foo.com/dc=foo,dc=com?uid??(objectclass=*)">nst-ldap.foo.com/dc=foo,dc=com?uid??(objectclass=*)</a><br>    AuthLDAPBindDN "cn=ldapadmin,dc=foo,dc=com"<br>

    AuthLDAPBindPassword PASSWORD<br>    Require valid-user<br></Directory><br><br>it took a number of edits all over the place and restarts to get this working, but I wanted to share for those in the same situation as I.<br>

<br><br>To get caught by the search at Hobbiton:<br><br>Apache mod_authnz_ldap groups authenticate httpd AuthLDAP cgi-secure seccgi<br><br>That ought to do it.<br><br><br clear="all">---<br>Jerald M. Sheets jr.<br>

<br><br><div class="gmail_quote">On Thu, Nov 19, 2009 at 9:15 AM,  <span dir="ltr"><<a href="mailto:wiskbroom@hotmail.com">wiskbroom@hotmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

<br>

Thanks Matt, can't wait to try this out!<br>

<br>

.vp<br>

<br>

><br>

> Here is our configuration in /etc/httpd/conf.d/hobbit-apache.conf<br>

> that allows us to authenticate against AD. Took a lot of searching<br>

> to find the solution, which was pretty obscure, so hopefully this helps.<br>

> I've removed the default comments, so you may want to put them back<br>

> or have your own.<br>

><br>

><br>

><br>

> Note the "AuthzLDAPAuthoritative<br>

> Off" ... that was the kicker in getting it all to play nice.<br>

><br>

><br>

><br>

><br>

><br>

> AllowOverride None<br>

><br>

> Options ExecCGI Includes<br>

><br>

> Order allow,deny<br>

><br>

> Allow from all<br>

><br>

> AuthType Basic<br>

><br>

> AuthBasicProvider ldap<br>

><br>

> AuthGroupFile<br>

><br>

> AuthLDAPURL "ldap:///dc=example,dc=domain,dc=com?sAMAccountName?sub?(objectClass=*)"<br>

><br>

> AuthName "Xymon Admin<br>

> - Use your Windoze password"<br>

><br>

> AuthzLDAPAuthoritative<br>

> off<br>

><br>

> Require valid-user<br>

><br>

> Require group<br>

><br>

> AuthLDAPBindDN<br>

> "CN=_,OU=,OU=,DC=example,DC=domain,DC=com"<br>

><br>

> AuthLDAPBindPassword<br>

> ""<br>

><br>

><br>

><br>

><br>

><br>

> Unix System Administrator<br>

><br>

> Computer Science Corporation<br>

><br>

> General Dynamics Land Systems<br>

><br>

> 38500 Mound Rd.<br>

><br>

> Sterling Heights, MI. 48310<br>

><br>

> Desk: (586) 825-8294<br>

><br>

> Oracle IM: moldvanm<br>

><br>

><br>

><br>

> This is a PRIVATE message. If you are not the intended recipient, please<br>

> delete without copying and kindly advise us by e-mail of the mistake in<br>

> delivery.<br>

><br>

> NOTE: Regardless of content, this e-mail shall not operate to bind CSC<br>

> to any order or other contract unless pursuant to explicit written agreement<br>

> or government initiative expressly permitting the use of e-mail for such<br>

> purpose.<br>

><br>

><br>

><br>

><br>

><br>

><br>

><br>

><br>

> [<a href="http://gfx1.hotmail.com/mail/w4/pr01/ltr/i_safe.gif" target="_blank">http://gfx1.hotmail.com/mail/w4/pr01/ltr/i_safe.gif</a>]<br>

><br>

><br>

><br>

> RE: [hobbit] Password<br>

> Protected Areas?<br>

><br>

><br>

><br>

><br>

><br>

> wiskbroom<br>

> to:<br>

> hobbit<br>

><br>

> 11/13/2009 08:13 AM<br>

><br>

><br>

><br>

><br>

><br>

> Please respond to hobbit<br>

><br>

><br>

><br>

><br>

><br>

><br>

><br>

><br>

> ________________________________<br>

><br>

><br>

><br>

><br>

><br>

><br>

> Thank you Henrik!<br>

><br>

><br>

><br>

>> To: <a href="mailto:hobbit@hswn.dk">hobbit@hswn.dk</a><br>

><br>

>> From: <a href="mailto:henrik@hswn.dk">henrik@hswn.dk</a><br>

><br>

>> Date: Fri, 13 Nov 2009 09:34:00 +0000<br>

><br>

>> Subject: Re: [hobbit] Password Protected Areas?<br>

><br>

>><br>

><br>

>> In<br>

> writes:<br>

><br>

>><br>

><br>

>>>Really? You know of a way in which I can auth against AD and based<br>

> on<br>

><br>

>>>page/pages in apache?<br>

><br>

>><br>

><br>

>> Pages and subpages are just physical directories below ~hobbit/server/www/<br>

><br>

>> so you can setup standard Apache ""<br>

> definitions to impose<br>

><br>

>> access restrictions.<br>

><br>

>><br>

><br>

>> As for authenticating against an AD, you must use the Apache mod_auth_ldap<br>

><br>

>> module. If you google "apache auth active directory" it<br>

> should give you<br>

><br>

>> some hints.<br>

><br>

>><br>

><br>

>><br>

><br>

>> Regards,<br>

><br>

>> Henrik<br>

><br>

><br>

><br>

<br>

To unsubscribe from the hobbit list, send an e-mail to<br>

<a href="mailto:hobbit-unsubscribe@hswn.dk">hobbit-unsubscribe@hswn.dk</a><br>

<br>

<br>

</blockquote></div><br>