Diferença entre mod_authn_ldap e mod_authz_ldap

Não existe tal coisa chamada mod_authn_ldap . Existe apenas o mod_authnz_ldap .

Nas versões do Apache anteriores ao Apache2.2, todos os módulos do "Access Control" eram chamados de 'mod_authsomething'.

O Apache 2.2 divide os módulos Auth * em módulos que mantêm a autenticação e a autorização separadas. Veja a documentação do Apache, Autenticação, Autorização e Controle de Acesso para um resumo.

• Um módulo mod_authn_ * fornecerá serviços de autenticação (daí o nome 'authn')
• Um módulo mod_authz_ * fornecerá serviços de autorização (daí o nome 'authz')
• Um módulo mod_authnz_ * fornecerá autenticação e autorização.

mod_authnz_ldap é um dos poucos módulos que fornecem autorização e autenticação. Isso pode ser confuso e pode ser um incômodo ao tentar se integrar a outros serviços.

É muito importante aprender e entender a diferença entre Autenticação vs. Autorização , especialmente com respeito para segurança do LDAP, servidor web Apache, PAM, etc.

• A autenticação determina que você é quem você diz ser.
• A autorização determina se você tem o direito de fazer alguma coisa.

Na memória, esses eram os módulos que lidavam com as funções de checagem de senha LDAP e verificação de associação a grupos, que eram combinados em mod_authnz_ldap . O módulo authn realizou a autenticação (o usuário é válido?) E o authz verificou a autorização (o usuário tem permissão para acessar isso?). Minha memória pode ser confusa aqui.