On Tue, Jan 29, 2008 at 10:28:40PM +0100, Ingo Bruell wrote: > Hi Christian, > > >>> An dieser Stelle ist "uid" der default Wert, sodass er weggelassen > >>> werden kann. Da Apache bei mir als UID "<uid>@<REALM>" statt > >>> nur "<uid>" wie LDAP verwendet, funktioniert es nicht. > >> d.h. der Apache soll mit UID = "<uid>@<REALM> gegen den LDAP Server > >> authentifizieren ? > > > > Nicht ganz: Die Authentifizierung ist bereits über das Kerberos Modul > > erfolgt. Anschließend soll der Apache die Authorisation über LDAP > > erledigen. Dummerweise schaut er dazu aber den Kerberos > > principal "<uid>@<REALM>" im LDAP nach, obwohl im LDAP nur "<uid>" bei > > Benutzern eingetragen ist. > > Okay. Also scheint Kerberos "<uid>@<REALM>" als Benutzernamen zu > liefern. Das ist natürlich ungünstig. Ich denke es sollte möglich sein > Kerberos dazu zu bringen, nur die UID zu liefern. Soweit ich weiß, kann > man den Username, der an Apache wie auch immer übertragen wurde, nicht > wieder ändern. > Allerdings scheint genau das eben nicht im Kerberos-Modul vorgesehen zu sein. Warum? Weil man sich ja gegen verschiedene REALMS authentifizieren kann... Man muss also wohl das Modul von Hand patchen wenn ich mich recht entsinne. Das gleiche Problem hatte ich vor ca. 1.5 Jahren auch, weiß allerdings nicht inwiefern sich in der Zwischenzeit etwas getan hatte. Paul --
Attachment:
signature.asc
Description: Digital signature