Verschlüsseltes LDAP (LDAPS) nach Upgrade von Debian Etch auf Lenny

Nach einem Dist-Upgrade von Debian Etch auf Lenny funktionierte bei mir die verschlüsselte LDAP Abfrage nicht mehr. Wir haben auf dem Debian-Server ein zentrales ROOT-CA installiert und in der /etc/ldap/ldap.conf entpsrechend konfiguriert:

TLS_CACERT /etc/ldap/certs/our_Rootzertifikat.cer
TLS_REQCERT never

Nach dem Upgrade funktionierte aber die Authentifizierung in allen PHP-Applikationen (wie z.B. das TYPO3-Backend) nicht mehr. Das der Fehler nicht an den Applikationen bzw. PHP lag, war also recht offensichtlich.

Weitere Sicherheit in diese These brachte, das auch auf der Kommandozeile ein Abfrage via

ldapsearch -x -W -b ‚ou=FLADI,o=FLADI-DIR‘ -H ldaps://ldap.fladi.de:636 -D „cn=LOOKUP,ou=SVC,o=ADM“ ‚(&(objectClass=Persons)(cn=LU1))‘ -d 1

nicht möglich war und als Ergebnis ein weitesgehend nichtssagendes

ldap_sasl_bind(SIMPLE): Can’t contact LDAP server (-1)

lieferte. Da der Connect zum LDAP-Server jedoch funktionierte, musste es ein Fehler beim eigentlichen BIND sein. Entsprechendes debugging während einer Anmeldung durch eine PHP-Anwendung zeigte dies ebenso.

Als Ursache stellte sich heraus, dass mit Wechsel von Etch auf Lenny die OpenLDAP-Implementierung nicht mehr gegen OpenSSL verlinkt ist, sondern gegen GnuTLS. Diese interpretiert die ein oder andere Konfiguration wohl verschieden. Obgleich unsere Konfiguration (s.o.) ja schon recht überschaulich ist, lag hier der Fehler. Das Zertifikat wurde nicht richtig gelesen.

Abhilfe schaffte dann, anstelle der direkten Angabe des Zertifikates nur noch das Verzeichnis mit Zertifikaten zu konfigurieren.

TLS_CACERTDIR /etc/ldap/certs/

Seitdem klappt wieder alles wie es soll.

Nachtrag: Die o.g. Server-Adressen, Usernamen … wurden ersetzt und sind so in der Realität nicht zu gebrauchen. :-)


MySQL Limit Funktion mit Oracle und PHP für jqGrid

Für ein Projekt habe ich gerade mit dem tollen jqgrid-Plugin für jQuery gearbeitet. Damit lassen sich recht schnell und einfach Tabellendaten dynamisch darstellen. Das Plugin ist sehr gut dokumentiert und es gibt viele Beispiele. Diese beziehen sich aber i.d.R. auf MySQL. Nun habe ich hier aber eine Oracle Datenbank aus der ich die Daten beziehe.

jqGrid zeigt die Daten standardmässig „gepaged“ an, d.h. nur eine bestimmte Anzahl Datensätze pro Seite. Diese werden dynamisch via Ajax-Request neu gelesen. Da wir aber selbstverständlich nicht immer alle Sätze aus der Datenbank lesen wollen und anschliessend filtern, soll das Query nur die nötigen Sätze zurückliefern.

In MySQL ist das einfach mit der Limit-Funktion möglich. Diese Funktion gibt es so leider in Oracle nicht, weshalb man etwas umständlicher zum Ziel kommen muss. Dazu umfassen wir uns eigentlichs SQL (hier ###select###) zusätzlich.

SELECT   *   FROM
(
SELECT
r.*, ROWNUM as row_number
FROM
( ###select### ORDER BY ###sidx### ###sord###) r
WHERE
ROWNUM <= :end_row
)
WHERE :start_row <= row_number

Da ich meine SQL in diesem Projekt als TXT-Datei einlese habe ich hier 3 Marker die ich anschliessend mit den entsprechenden Werten ersetze um mein tatsächliches Statement zu bekommen.

$sql = file_get_contents(‚modules/reports/sql/oracle_limit-wrap.sql‘);
$sql = str_replace(‚###select###‘,$select,$sql);
$sql = str_replace(‚###sidx###‘,$sidx,$sql);
$sql = str_replace(‚###sord###‘,$sord,$sql);

###select### / $select ist das SQL mit dem ich die eigentlich gewollten Daten aus der Datenbank ziehe.
###sidx### und ###sord### sind die Parameter die von jqGrid beim Update der Ansicht übergeben werden (Sort-Index und Sort-Order).

Bevor wir nun unser neues SQL abschicken müssen wir noch :start_row und :end_row ermitteln. Diese sind abhängig von den von jqGrid übergebenen Parametern ($limit und $start). Sie kommen aus der Berechnung der Gesamtsätze wie es im jqGrid-Beispiel zu sehen ist. $count ist hierbei die Gesamtzahl aller Sätze die wir via „select count(*) …“ ermittelt haben.

if( $count > 0 ) {
$total_pages = ceil($count/$limit);
} else {
$total_pages = 0;
}

if ($page > $total_pages) $page=$total_pages;
$start = $limit*$page – $limit+1;
$end = $start + $limit-1;
if($start <0) $start = 0;

Nun aber endlich das Query ausführen:

$stmt = oci_parse($conn,$sql);
oci_bind_by_name($stmt, ‚:start_row‘, $start);
oci_bind_by_name($stmt, ‚:end_row‘, $end);    
oci_execute($stmt);
$rows_per_page = $limit;    
ocisetprefetch($stmt, $rows_per_page);

// build result-array
while ($row = oci_fetch_array($stmt, OCI_ASSOC+OCI_RETURN_NULLS)) {
$rows[] = $row;                  
}

Zu beachten ist noch, dass wir in unserem Result-Array pro Datensatz jetzt noch eine zusätzliches Feld ROW_NUM haben, das wir in PHP oder im jqGrid noch rausfiltern können.

Zusammenfassung in einfachen Worten:
Anstelle der LIMIT-Funktion umfassen wir unser SELECT nochmals mit einem zusätzlichen SQL und übergeben diese die Limit-Parameter.

OFFTOPIC: Wie bringe ich WordPress bei Quellcode schön darzustellen?

HowTo: PHP-Script per cron ausführen

Um ein PHP-Script zeitgesteuert auszuführen nimmt man unter Linux am besten einen Cronjob. Nun gibt es viele Möglichkeiten das PHP aufzurufen. Als Kommandozeile etwa. Hier ist es aber nicht immer ganz einfach, das auch zum Laufen zu bekommen. Was liegt also näher als das Script als „Webseite“ aufzurufen. Alles was man dazu braucht ist der Lynx-Browser. Dieser textbasierte Browser ist z.B. unter Debian mit einem einfachen „apt-get install lynx“ schnell installiert.

Nun braucht man nur noch die URL unter der das Script normalerweise via Web aufrubar ist. Mit dem Befehl „crontab -e“ editieren wir unsere Cronjobs. So sieht dann der Eintrag aus um unser Script jede Minute laufen zu lassen:

* * * * * lynx -dump http://fladi.de/wp-content/upload/scheduler.php >/dev/null 2>&1

Erklärung:
* * * * * – Zeitsteuerung, wann der Job laufen soll (siehe Wikipedia)
lynx -dump <adresse> – der Aufruf der URL im Browser
>/dev/null 2>&1 – verhindern, dass bei jedem Cron-Aufruf eine Mail gesendet wird

 

PHP5 ich komme

Seit kurzem beschäftige ich mich mal wieder etwas intensiver mit PHP. Dann gibt es sicher auch mal hier wieder öfter ein Update, als das in letzter Zeit der Fall war.

Als erstes möchte ich Dir die Seite phphatesme.com ans Herz legen. Seitdem ich etwas tiefer in die Materie einsteige ist das eine der Seiten die ich quasi täglich besuche. Nebenbei hatte die Seite vor kurzem ihren noch jungen ersten Geburtstag. Trotzdem erfreut sie sich großer stetig wachsender Beliebtheit, was wohl auf die durchweg gute Qualität der Artikel zurückzuführen ist. Bei den rund 400 Artikeln dürfte für jeden etwas dabei sein.