Estou tentando configurar um repositório Apache SVN com autenticação Kerberos e autorização de associação ao grupo LDAP, para que somente usuários que pertençam a um grupo específico possam acessá-lo. A autenticação do Kerberos por si só está funcionando bem, como faz o próprio LDAP. Mas gostaria de combiná-los dessa maneira, para que eu não tenha credenciais de texto sem formatação para vincular ao diretório LDAP na configuração do apache. Minha configuração atual (que não funciona) é:
LDAPVerifyServerCert Off
<Location /svn01>
DAV svn
SVNParentPath /var/www/svn01
AuthType Kerberos
Authname "Test Repo"
KrbMethodK5Passwd On
KrbAuthRealms KOUKOU.LOCAL
KrbSaveCredentials On
KrbServiceName HTTP
Krb5KeyTab /etc/httpd/conf.d/svnusr.http.keytab
AuthLDAPUrl ldaps://ad01.koukou.local:636/dc=koukou,dc=local?krbPrincipalName
Require ldap-group CN=admins,CN=Users,DC=koukou,DC=local
</Location>
Eu já vi esse tipo de configuração na internet, mas não funciona para mim. O que eu estou recebendo no navegador é "Unauthorized" e no log de erro do apache eu recebo:
[Thu Mar 02 09:55:21.817559 2017] [authnz_ldap:debug] [pid 10314] mod_authnz_ldap.c(838): [client 172.21.11.13:57737] AH01711: auth_ldap authorise: User DN not found, User not found
e
[Thu Mar 02 09:55:21.817605 2017] [authz_core:error] [pid 10314] [client XXX.XXX.XXX.XXX:57737] AH01631: user [email protected]: authorization failure for "/svn01/repo":
Estou fazendo algo errado? Mesmo se adicionar um segmento para vincular com credenciais na configuração, ainda estou recebendo os erros acima.
A versão do Apache é 2.4.6, o Centos é 7.2 e o Windows AD é 2012R2 com o nível funcional de 2008.
Obrigado antecipadamente, Nick
Tags ldap kerberos apache-2.4 centos7