Autenticação LDAP do Apache: negada todo o tempo

Question

Autenticação LDAP do Apache: negada todo o tempo

#1 resposta do (1 votos)

4

Existe a minha configuração (httpd 2.4):

<AuthnProviderAlias ldap zzzldap>
   LDAPReferrals Off
   AuthLDAPURL "ldaps://ldap.zzz.com:636/o=zzz.com?uid?sub?(objectClass=*)"
   AuthLDAPBindDN "uid=zzz,ou=Applications,o=zzz.com"
   AuthLDAPBindPassword "zzz"
</AuthnProviderAlias>

<Location /svn>
   DAV svn
   SVNParentPath /DATA/svn
   AuthType Basic
   AuthName "Subversion repositories"
   SSLRequireSSL
   AuthBasicProvider zzzldap

   <RequireAll>
      Require valid-user
      Require ldap-attribute employeeNumber=12345
      Require ldap-group cn=yyy,ou=Groups,o=zzz.com
   </RequireAll>
</Location>

O Require valid-user é trabalho. Mas ldap-attribite, ldap-filter, o ldap-group não funciona - denied em logs o tempo todo. Passei muito tempo, mas não consigo entender o que está acontecendo. Este é o exemplo dos meus logs:

[Tue Sep 25 16:42:26.772006 2012] [authz_core:debug] [pid 23087:tid 139684003014400] mod_authz_core.c(802): [client 1.1.1.1:52624] AH01626: authorization result of Require valid-user : granted
[Tue Sep 25 16:42:26.772014 2012] [authz_core:debug] [pid 23087:tid 139684003014400] mod_authz_core.c(802): [client 1.1.1.1:52624] AH01626: authorization result of Require ldap-attribute employeeNumber=12345: denied

Eu verifiquei todas as informações com ldapsearch: há um nome de usuário válido, ID do funcionário e outros ...

authentication ldap apache-2.4 httpd authorization

por Dmytro 25.09.2012 / 16:54

1 resposta

Tags authentication ldap apache-2.4 httpd authorization

O DKIM funciona com subdomínios? Por que a instalação do CentOS 5.8 apresenta um erro sobre a unidade de CD-ROM ao usar o HP ILO?

score 1 · Answer 1

Tente desta maneira:

<AuthnProviderAlias ldap zzzldap>
   LDAPReferrals Off
   AuthLDAPURL "ldaps://ldap.zzz.com:636/o=zzz.com?uid?sub?(objectClass=*)"
   AuthLDAPBindDN uid=zzz,ou=Applications,o=zzz.com
   AuthLDAPBindPassword zzz
</AuthnProviderAlias>

<AuthzProviderAlias ldap-group ldap-group-yyy cn=yyy,ou=Groups,o=zzz.com>
   AuthLDAPURL "ldaps://ldap.zzz.com:636/o=zzz.com"
   AuthLDAPBindDN uid=zzz,ou=Applications,o=zzz.com
   AuthLDAPBindPassword zzz
   Require ldap-group cn=yyy,ou=Groups,o=zzz.com
   #Require ldap-attribute employeeNumber=12345
</AuthzProviderAlias>

<Location /svn>
   DAV svn
   SVNParentPath /DATA/svn
   AuthType Basic
   AuthName "Subversion repositories"
   SSLRequireSSL
   AuthBasicProvider zzzldap

   <RequireAll>
      Require valid-user
      Require ldap-group-yyy
  </RequireAll>
</Location>

Não tenho certeza sobre a parte "Exigir o atributo ldap employeeNumber = 12345", mas o grupo funciona para mim agora.