Estou tentando autenticar usando um usuário do Active Directory em um site em execução no Apache.
Minha configuração
Diretório ativo: O usuário "steven" é membro do grupo "staff". O usuário "cindy" é um membro do grupo "finanças", que é um membro da "equipe" (= cindy é um membro de um subgrupo do grupo "staff").
Apache: Apache 2.4 com mod_authnz_ldap
Minha configuração do site do Apache:
AuthName "Please enter your login data."
AuthType Basic
AuthBasicProvider ldap
AuthLDAPBindDN [email protected]
AuthLDAPBindPassword "userpassword"
AuthLDAPURL "ldap://dc.domain.local/DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)"
Require ldap-group CN=Staff,OU=Groups,OU=Accounts,DC=domain,DC=local
Problema
Steven (ou qualquer outro usuário que seria um membro direto do grupo "staff") autentica com sucesso, entretanto membros de subgrupos, como cindy, não autenticam.
Já tentei adicionar "AuthLDAPMaxSubGroupDepth 10" (10 deve ser o valor padrão, de qualquer forma), mas isso também não ajudou.
Alguém que possa ajudar?
Eu não tive a oportunidade de usar a diretiva AuthLDAPMaxSubGroupDepth . Eu sempre usei o LDAP_MATCHING_RULE_IN_CHAIN controle de pesquisa. Você pode dar uma olhada nisso. Ele deve ter um desempenho melhor, em termos de tráfego de rede entre o DC e o Apache, porque o próprio DC resolverá os grupos aninhados.