LDAP Authentication

[IT-T0bi]

Hallo zusammen,

ich habe die Version MediaWiki 1.34 auf einem Debian 10 OS installiert. Die Extension 'LDAP Authentication' (https://www.mediawiki.org/wiki/Extension:LDAP_Authentication) habe ich bereits unter /var/www/html/mediawiki/extensions gepackt und die Anpassung im LocalSettings.php durchgeführt:

require_once( "$IP/extensions/LdapAuthentication/LdapAuthentication.php" );
$wgAuth = new LdapAuthenticationPlugin();
$wgLDAPDomainNames = array( "DOMAIN" );
$wgLDAPServerNames = array( "DOMAIN => "DC" );
$wgLDAPSearchStrings = array( "DOMAIN" => "DOMAIN\\USER-NAME" );
$wgLDAPEncryptionType = array( "DOMAIN" => "clear" );
$wgLDAPUseLocal = false;
$wgMinimalPasswordLength = 1;

$wgLDAPSearchAttributes = array( "DOMAIN" => "sAMAccountName" );
$wgLDAPPreferences = array( "DOMAIN" => "true" );
$wgLDAPDebug = 3; //for debugging LDAP
$wgDebugLogGroups["ldap"] = "/tmp/ldapdebug.log" ;
$wgShowExceptionDetails = true;

Nach einem Restart von Apache2 funktioniert es leider immer noch nicht. Das PHP-LDAP Modul habe ich bereits installiert und in der php.ini auch die Konfig angepasst:
extension=ldap

Hat jemand eine Idee?

 

[VDC]

MediaWiki 1.19-1.26

Ob das dann wohl mit nem 1.34er Mediawiki was wird?

Du brauchst die 2er Version: https://www.mediawiki.org/wiki/Extension:LDAPAuthentication2

 

[konkretor]

was steht in den logs?

beachte ab Herbst kein kein LDAP ohne SSL mehr geht


https://www.deyda.net/index.php/2020/03/09/adv190023-ldaps-aktivieren-in-windows-dc-und-citrix-adc/

 

[snaxilian]

@konkretor Gewagte Aussage. Wenn ich im Winter ein openldap oder 389ds aufsetze kann ich keine Clients (win oder linux) und auch keine Anwendungen dagegen authentifizieren lassen selbst wenn ich nur plaintext ldap ohne SSL oder wohl eher TLS verwende?^^
Aber ja, best practices ist plaintext/clear definitiv nicht und wenn möglich sollte eine Verschlüsselung genutzt werden.

Ansonsten was @VDC sagt. Aktuelles zur MediaWiki Version passendes Plugin verwenden

 

[IT-T0bi]

@konkretor das ist klar . Nur muss ich erstmal Plaintext testen, um mich dann auf die Certs zu sütrzen.
@VDC laut dem Artikel https://www.mediawiki.org/wiki/Extension:LDAP_Authentication wurde die Extension mit 1.34 getestet. Ich versuch gleich mal die 2er Version. Danke erstmal dafür

 

[mastada]

was steht in den logs?

beachte ab Herbst kein kein LDAP ohne SSL mehr geht


https://www.deyda.net/index.php/2020/03/09/adv190023-ldaps-aktivieren-in-windows-dc-und-citrix-adc/

Ich weiß nicht wann aber Microsoft hat sich nun dazu entschieden, dass sie nichts ändern. Schau mal in das originale Adivsory von MS:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023

Zitat: "Important The March 10, 2020 and updates in the foreseeable future will not make changes to LDAP signing or LDAP channel binding policies or their registry equivalent on new or existing domain controllers."

Sinn ergibt es natürlich trotzdem, die Verschlüsselung mal zu aktivieren.