ぼんやりと考えている人

名前: ひろしまなおき (廣島直己)
住処: シリコンバレー
職業: しがないプログラマ
家族: 愛妻一人、息子一人、娘一人
道具: ハーレー二台、ギター三本
電紙: n at h7a.org

ひろしまなおき (廣島直己)

Twitter

« October 2008
S M T W T F S
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

リンク

スタージスの写真 (2006)
スタージスの写真 (2002)
スタージスの写真 (1998)
南西部のツーリングの写真 (2003)
おれの写真 (要認証)
家族の写真 (要認証)
このサイトの昔

カテゴリ一覧

最近ぼんやりと考えたこと

以前にぼんやりと考えたこと

最近のコメント

  • ひろしま (日本の少子化問題…): 天才ですね。いや、神童だったんですね、どこで間違え…
  • Hiratz (日本の少子化問題…): 幼少のみぎりに この問題にいち早く着目した私は、風呂…
  • ひろしま (東京はすべる…): ありがとう。 でも、残念ながら今回は、出張前からぜん…
  • Yone (東京はすべる…): 残念。じゃあうちに夕食でも食べに来ない? Hちゃんも…
  • ひろしま (東京はすべる…): @とおる え、そうですかねえ。ぼくはあんまり感じない…
  • C (東京はすべる…): 11月1〜3日に毎年恒例の新蕎麦会があるよ。…
  • とおる。 (東京はすべる…): はじめまして。どうでもいいですが、クロックスは東京…
  • ryu.hgia (かりーたんはぼく…): >>「エンジニアはモテるJK」 この言葉、ものすごく重み…
  • あごら (Gyazickr for iPho…): 遅くなってしまいましたが…v1.1 で Flickr の URL 問題…
  • ひろしま (かりーたんはぼく…): かりーたんが好きですか、そうですか。 じゃあ、こんど…

  • Powered by Pivot - 1.40.5: 'Dreadwind'
  • SPAM Poison
  • XMLフィード(RSS 1.0)
  • Atomフィード

24 February '2006 - 19:56 | 技術動向 Re: mod_auth_ldap のバカ

mod_auth_ldap のバカ」の続き。

なんだけれど、意味もなく返信ということにしてみた。自分のエントリにリプライ。


とりあえず先日インスコした mod_auth_ldap は さくっと unmerge して、apache2 を +ldap でインスコしなおし。すると、さくっと mod_auth_ldap.so も入った。最初からこうしていたら、mod_auth_ldap には腹違いの兄がいたということを知らずに一生を終えていた可能性が高い。自分の運の良さに感謝。

そして、おもむろにテスト。

foo#  cat  /etc/apache2/vhosts.d/99_test.conf

<VirtualHost  *:80>
    ServerName  foo.example.com
    <Location />
        AuthName  "Who on earth are you?"
        AuthType  Basic
        require  valid-user
        AuthLDAPEnabled  on
        AuthLDAPURL  ldaps://ldap.example.com:636/dc=example,dc=com?uid
    </Location>
</VirtualHost>

とりあえずこんな感じで実験してみたら、

[Fri Feb 24 14:20:13 2006] [warn] [client 10.20.30.40] [9152] auth_ldap authenticate: user hoge authentication failed; URI / [LDAP: ssl connections not supported][Can't contact LDAP server]

って言われて接続できない。ssl connections not supported って、なんだよ。ldaps:// はダメなのかよと思ってログをよく見てみたら、ちょっと上に

[Fri Feb 24 14:18:55 2006] [notice] LDAP: Built with OpenLDAP LDAP SDK
[Fri Feb 24 14:18:55 2006] [notice] LDAP: SSL support unavailable

って書いてあった。なんで unavailable なのか。+ssl だけじゃダメなのか。

しぶしぶもう一度マニュアルをちゃんと読んでみたら LDAPTrustedCA を設定しないといけないらしいことが分かった。面倒くさいなあ。知らんよ、そんなこと。そんなことくらい勝手にやってくれればいいのに。

仕方ないので、LDAP サーバが使ってるやつを調べて、そのファイルをそのままクライアントのサーバにコピーする。

ldap#  grep  CA  /etc/openldap/slapd.conf
TLSCACertificateFile  /etc/ssl/ldap.pem
ldap#  scp  /etc/ssl/ldap.pem  foo.example.com:/etc/ssl/ldap.pem

それから /etc/apache2/vhosts.d/99_test.conf

LDAPTrustedCA /etc/ssl/ldap.pem
LDAPTrustedCAType BASE64_FILE

の二行を追加して、/etc/init.d/apache2 restart すると、今度はちゃんと

[Fri Feb 24 14:33:15 2006] [notice] LDAP: Built with OpenLDAP LDAP SDK
[Fri Feb 24 14:33:15 2006] [notice] LDAP: SSL support available

と SSL が使える状態で起動される。よしよし。

と思いきや、しかし、まだうまくいかない。

[Fri Feb 24 14:34:46 2006] [warn] [client 10.20.30.40] [11017] auth_ldap authenticate: user hoge authentication failed; URI / [LDAP: ldap_simple_bind_s() failed][Can't contact LDAP server], referer: http://foo.example.com/

今度は ssl connections not supported とは言われなくなってるから、ldaps:// 自体は通っている。あと一歩。

よく分からないので、エラーメッセージをそのままぐぐってみたら、ここを発見。知りたいことが書いてあった。つまり、

foo#  grep  REQCERT  /etc/openldap/ldap.conf
TLS_REQCERT  never

こうなればいい。

これで、やっと LDAPS 認証ができるようになって、当初の目的である svn ls https://foo.example.com/bar が期待通りに動くようになった。やれやれ。

24 February '2006 - 19:56 | 技術動向 | 固定リンク | コメント(0) | トラバ(0)

Trackback link:

トラックバック用URLを生成するには、JavaScriptを有効にしてください。


  
情報を記憶する

Emoticons /

酢ハムがいったいどんなハムなのかはともかく…
 

 

通知:
非公開:

注意: 使用できるタグは <b> と <i> のみです。URLやメールアドレスはそのまま記述すればリンクになります。