Você pode tentar a diretiva "apache" Satisfy ", por exemplo: satisfazer todos.
Caso contrário, você pode modificar seu filtro para exigir os grupos, por exemplo, (&(ou=foo)(ou=bar))
Estou configurando o Apache para autenticar em relação ao LDAP e exigir que vários grupos estejam presentes. Eu fiz isso com require statements, no entanto, preciso que a autenticação seja bem-sucedida se todos os grupos estiverem lá e não apenas um. Como eu digo ao Apache para passar por todas as instruções require?
Você pode tentar a diretiva "apache" Satisfy ", por exemplo: satisfazer todos.
Caso contrário, você pode modificar seu filtro para exigir os grupos, por exemplo, (&(ou=foo)(ou=bar))
" Satisfazer " não funcionará aqui porque isso apenas rege a interação entre "permitir" e "exigir", não entre várias diretivas "exigir".
Se o seu LDAP tiver atributos memberOf (você pode habilitar aqueles com memberof overlay no OpenLDAP), você pode usar "require ldap-filter" para requerer associação em mais de um grupo.
Infelizmente, o memberOf não se reproduz de forma confiável a partir do OpenLDAP 2.4.31, então não confie nele se você também usa o syncrepl.
Se você estiver usando um serviço ldap que suporte grupos aninhados, poderá criar outro grupo que contenha os grupos necessários e, em vez disso, ter o referência do apache nesse grupo. Então, ao atualizar qualquer um dos grupos originais, o grupo aninhado é atualizado automaticamente.
Isso pode não ser uma opção para você, no entanto.
Tags groups ldap apache-2.2