Autenticação Apache LDAP com subgrupo AD

3

Estou tentando autenticar usando um usuário do Active Directory em um site em execução no Apache.

Minha configuração

Diretório ativo: O usuário "steven" é membro do grupo "staff". O usuário "cindy" é um membro do grupo "finanças", que é um membro da "equipe" (= cindy é um membro de um subgrupo do grupo "staff").

Apache: Apache 2.4 com mod_authnz_ldap

Minha configuração do site do Apache:

AuthName "Please enter your login data."

AuthType Basic
AuthBasicProvider ldap

AuthLDAPBindDN [email protected]
AuthLDAPBindPassword "userpassword"

AuthLDAPURL "ldap://dc.domain.local/DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)"

Require ldap-group CN=Staff,OU=Groups,OU=Accounts,DC=domain,DC=local

Problema

Steven (ou qualquer outro usuário que seria um membro direto do grupo "staff") autentica com sucesso, entretanto membros de subgrupos, como cindy, não autenticam.

Já tentei adicionar "AuthLDAPMaxSubGroupDepth 10" (10 deve ser o valor padrão, de qualquer forma), mas isso também não ajudou.

Alguém que possa ajudar?

    
por Aaron 26.06.2014 / 15:26

1 resposta

2

Eu não tive a oportunidade de usar a diretiva AuthLDAPMaxSubGroupDepth . Eu sempre usei o LDAP_MATCHING_RULE_IN_CHAIN controle de pesquisa. Você pode dar uma olhada nisso. Ele deve ter um desempenho melhor, em termos de tráfego de rede entre o DC e o Apache, porque o próprio DC resolverá os grupos aninhados.

    
por 26.06.2014 / 17:40