ich habe ein größeres Problem, das dazu führt, dass momentan 90% unserer Lehrer und Schüler seit Tagen keinen Zugriff mehr auf unsere Lernplattform haben.
Seit der Umstellung des LDAP-Servers unseres lokalen Schulservers auf LDAPS durch einen Dienstleister funktioniert in ILIAS (5.4) die LDAP-Authentifizierung nicht mehr.
Vor der Umstellung auf LDAPS hat die LDAP-Authentifizierung problemlos funktioniert.
Beim erfolglosen Anmelden kommt die Meldung:
"Die Authentifizierung konnte wegen eines Fehlers im Anmeldungsverfahren (LDAP) nicht durchgeführt werden."
Serverseitig (ILIAS läuft auf Root-Server bei einem Webhoster) ist alles in Ordnung.
"ldapsearch" bringt vom ILIAS-Server aus mit den in ILIAS eingetragenen Verbindungs- und Anmeldedaten den kompletten LDAP Tree ohne Fehler.
Es kann also eigentlich nicht an fehlenden SSL-Zertifikaten, Firewall usw. liegen. Der Fehler tritt auch bei anderen ILIAS-Installationen auf dem selben Server auf (bei gleichen LDAP-Einstellungen).
In ILIAS wurde an den LDAP-Einstellungen nur folgendes geändert:
VORHER: ldap://xxxxxx:389 ; Verbindungsart: Anonym verbinden
NACHHER: ldaps://xxxxxx:636 ; Verbindungsart: Als Benutzer verbinden: DN des Benutzers: cn=ldap-ro,ou=services,dc=schule,dc=local
Alle anderen Einstellungen wurden im LDAP-Server nicht geändert und sind deshalb auch in ILIAS unverändert geblieben:
Der Cron-Job für die LDAP-Benutzersynchronisierung läuft ohne Fehlermeldung durch. Auch im ILIAS-Log-File wird kein Fehler ausgegeben:
[eh1g2] [2021-07-13 10:53:53.192372] elearning_root.INFO: ilCronManager::runJob:95 CRON - job ldap_sync started
[eh1g2] [2021-07-13 10:53:53.195927] elearning_root.INFO: ilCronManager::runJob:95 CRON - job ldap_sync finished
[eh1g2] [2021-07-13 10:53:53.195991] elearning_root.INFO: ilCronManager::runJobManual:282 CRON - manual end (ldap_sync)
Eine erfolglose Anmeldung des Test-Users "ibiza.ibiza" führt zu folgendem Eintrag im Log-File:
[poj6u] [2021-07-13 10:54:23.131268] elearning_auth.ERROR: ilAuthProviderLDAP::doAuthentication:173 Cannot bind to LDAP server... LDAP: Cannot bind as cn=ldap-ro,ou=services,dc=schule,dc=local with message: Invalid credentials Trying fallback...
[poj6u] [2021-07-13 10:54:23.175625] elearning_auth.ERROR: ilAuthProviderLDAP::doAuthentication:173 Cannot bind to LDAP server... LDAP: Cannot bind as cn=ldap-ro,ou=services,dc=schule,dc=local with message: Invalid credentials Trying fallback...
[poj6u] [2021-07-13 10:54:23.179226] elearning_auth.NOTICE: ilAuthFrontend::handleAuthenticationFail:191 Increased login attempts for user: ibiza.ibiza
Wie kann ich den Fehler weiter eingrenzen?
- Liegt es an den anderen, nicht geänderten LDAP-Einstellungen in ILIAS, die ja vorher funktioniert haben? Der Dienstleister hat alles verglichen und keine Unstimmigkeiten gefunden.
- Spielt mir die .htaccess im ILIAS-Ordner einen Streich? Die einzige Änderung gegenüber der Orginal-Datei ist, dass ich einen Eintrag für den verkürzten Gastlink von MultiVC hinzugefügt habe (s.u.). Aber auch mit der Original-.htaccess tritt dieses LDAPS-Problem weiter auf.
- Was könnte den SSL-zugriff aus ILIAS heraus sonst noch stören?
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^m/([A-Za-z0-9]+)/([0-9]+)$ ./Customizing/global/plugins/Services/Repository/RepositoryObject/MultiVc/index.php?ref_id=$2&client=$1 [L]
RewriteCond %{QUERY_STRING} ^lang=([^=]*)$
RewriteRule ^goto_(.*)_(wiki_([0-9]+|wpage)(.*)).html$ goto.php?client_id=$1&target=$2&lang=%1 [L]
RewriteRule ^goto_(.*)_(wiki_([0-9]+|wpage)(.*)).html$ goto.php?client_id=$1&target=$2 [L]
RewriteRule ^([^\/]*)_user_(.*)$ goto.php?client_id=$1&target=usr_n$2 [L]
RewriteRule ^goto_(.*)_(usr_([a-z]+)).html$ goto.php?client_id=$1&target=$2 [L]
RewriteCond %{QUERY_STRING} ^lang=([^=]*)$
RewriteRule ^goto_(.*)_([a-z]+_[0-9]+(.*)).html$ goto.php?client_id=$1&target=$2&lang=%1 [L]
RewriteRule ^goto_(.*)_([a-z]+_[0-9]+(.*)).html$ goto.php?client_id=$1&target=$2 [L]
RewriteRule ^data/.*/.*/.*$ ./Services/WebAccessChecker/wac.php [L]
RewriteCond %{HTTP_USER_AGENT} ^(DavClnt)$
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)$
RewriteRule .* "-" [R=401,L]
RedirectMatch 404 /\.git
</IfModule>
<IfModule mod_xsendfile.c>
XSendFile On
</IfModule>
AddType video/ogg .ogv
AddType video/mp4 .mp4
AddType video/webm .webm
Serverdaten:
- Debian 9
- PHP 7.1
- MySQL 5.7
Bin mit meinem Latein am Ende und dankbar für jeden Tipp.
Vielen Dank :))
Joachim