Você não especificou o DN do grupo corretamente e pode ver a mensagem de erro. Provavelmente deve ser assim:
Require ldap-group CN=Development,OU=Security Groups,OU=VegiBanc,dc=vegibanc,dc=com
Editar : como esse não parece ser o problema, verifique se você tem
AuthLDAPGroupAttribute member uniquemember
AuthLDAPGroupAttributeIsDN on
set, o que eu suponho ser correto para o seu ambiente de AD. Esses são os padrões em mod_authnz_ldap
, mas só podem ajudar a defini-los explicitamente.
Eu realmente não tenho outras ideias, sua configuração parece correta. Só estou me perguntando por que você não tinha a diretiva Require
em sua configuração original. Mas você disse que estava funcionando, então talvez o padrão seja Require valid-user
.
Editar 2: Como estamos executando uma configuração bastante semelhante (mas não com o AD), eu analisei nossa configuração e descobri que não é possível usar Require ldap-group
junto com os recursos de autorização do Subversion. Isso está documentado aqui: link . No nosso caso, isso não foi um problema, pois usamos AuthzSVNAccessFile
para autorização. O Require ldap-group
parece ter simplesmente se comportado como Require valid-user
.
Isso realmente não me explica por que você recebe uma mensagem de "Filtro de pesquisa inválido", mas para permitir que apenas membros do grupo de desenvolvimento acessem o /svn
local, você deve estender o AuthLDAPURL
com um grupo filtrar e remover a diretiva Require ldap-group
. Como você está usando o AD, você pode usar memberOf
ao longo destas linhas:
AuthLDAPURL ldap://ldap.vegibanc.com/dc=vegibanc,dc=com?sAMAccountName?sub?(&(objectCategory=person)(memberOf=CN=Development,OU=Security Groups,OU=VegiBanc,dc=vegibanc,dc=com)) NONE
Mais detalhes aqui: