Em resposta ao comentário / solicitação de recompensa, aqui está a configuração mínima do Apache que usa autenticação do AD e requer associação ao grupo, testada no RHEL 7.x que está usando mod_authnz_ldap:
<Directory "/some/path/">
AuthType Basic
AuthName "Top Secret"
AuthBasicProvider ldap
AuthLDAPURL "ldaps://example.com/dc=EXAMPLE,dc=COM?sAMAccountname"
AuthLDAPBindDN "CN=apache,OU=Accounts,DC=example,DC=com"
AuthLDAPBindPassword "password"
AuthLDAPMaxSubGroupDepth 0
AuthLDAPSubGroupAttribute member
AuthLDAPSubGroupClass group
Require ldap-group CN=example,OU=Groups,DC=example,DC=com
</Directory>
Ajustar o AuthLDAPMaxSubGroupDepth
me permite usar grupos que possuem associação aninhada, mas quando definido como 0 requer que meu usuário seja um membro imediato do grupo necessário.
Além dos registros que o OP postou, vejo isso em vez da falha:
AH01697: auth_ldap authenticate: accepting user
AH01713: auth_ldap authorize: require group: testing for group membership in "CN=example,OU=Groups,DC=example,DC=com"
AH01714: auth_ldap authorize: require group: testing for member: CN=User Name,OU=Accounts,DC=example,DC=com (CN=example,OU=Groups,DC=example,DC=com)
AH01715: auth_ldap authorize: require group: authorization successful (attribute member) [Comparison true (cached)][6 - Compare True]
AH01626: authorization result of Require ldap-group CN=example,OU=Groups,DC=example,DC=com: granted
AH01626: authorization result of <RequireAny>: granted
Edit: Eu consegui reproduzir o problema usando a sintaxe de alias do provedor, acredito que o OP está faltando um bloco <AuthzProviderAlias ...>
. Eu rejogged meu exemplo de configuração para ficar assim:
<AuthnProviderAlias ldap myldap>
AuthLDAPURL "ldaps://example.com/dc=EXAMPLE,dc=COM?sAMAccountname"
AuthLDAPBindDN "CN=apache,OU=Accounts,DC=example,DC=com"
AuthLDAPBindPassword "password"
</AuthnProviderAlias>
<AuthzProviderAlias ldap-group ldap-group-alias "CN=example,OU=Groups,DC=example,DC=com">
AuthLDAPURL "ldaps://example.com/dc=EXAMPLE,dc=COM"
AuthLDAPBindDN "CN=apache,OU=Accounts,DC=example,DC=com"
AuthLDAPBindPassword "password"
AuthLDAPMaxSubGroupDepth 0
AuthLDAPSubGroupAttribute member
AuthLDAPSubGroupClass group
</AuthzProviderAlias>
<Directory "/some/path/">
AuthType Basic
AuthName "Top Secret"
AuthBasicProvider myldap
Require ldap-group-alias
</Directory>
Isso também funciona, mas você acaba duplicando o URL, vincular DN & senha.