Apache vários grupos ldap

4

Estou configurando o Apache para autenticar em relação ao LDAP e exigir que vários grupos estejam presentes. Eu fiz isso com require statements, no entanto, preciso que a autenticação seja bem-sucedida se todos os grupos estiverem lá e não apenas um. Como eu digo ao Apache para passar por todas as instruções require?

    
por user174084 16.07.2012 / 05:22

3 respostas

1

Você pode tentar a diretiva "apache" Satisfy ", por exemplo: satisfazer todos.

Caso contrário, você pode modificar seu filtro para exigir os grupos, por exemplo, (&(ou=foo)(ou=bar))

    
por 17.07.2012 / 03:20
0

" Satisfazer " não funcionará aqui porque isso apenas rege a interação entre "permitir" e "exigir", não entre várias diretivas "exigir".

Se o seu LDAP tiver atributos memberOf (você pode habilitar aqueles com memberof overlay no OpenLDAP), você pode usar "require ldap-filter" para requerer associação em mais de um grupo.

Infelizmente, o memberOf não se reproduz de forma confiável a partir do OpenLDAP 2.4.31, então não confie nele se você também usa o syncrepl.

    
por 16.07.2014 / 12:45
0

Se você estiver usando um serviço ldap que suporte grupos aninhados, poderá criar outro grupo que contenha os grupos necessários e, em vez disso, ter o referência do apache nesse grupo. Então, ao atualizar qualquer um dos grupos originais, o grupo aninhado é atualizado automaticamente.

Isso pode não ser uma opção para você, no entanto.

    
por 16.07.2014 / 14:14