(Debian Squeeze) 我让 Apache 通过 Kerberos 进行身份验证 - 效果很好。现在我想将站点限制为单个组,因此我需要添加 LDAP 授权。我启用了 authnz_ldap 并编辑了 apache 配置。当我使用“Require ldap-group”指令时,我在 apache 错误日志中收到以下错误:
gss_display_name() failed: A required input parameter could not be read: An invalid name was supplied (, Unknown error)
apache.conf中的配置是:
<Directory /var/www/kerberos>
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbAuthRealms MYDOMAIN.LOCAL
Krb5KeyTab /etc/krb5.keytab
KrbServiceName HTTP/[email protected]
AuthLDAPURL "ldap://primarydc.mydomain.local/DC=mydomain,DC=local?sAMAccountName?sub?(objectClass=*)"
AuthLDAPBindDN "[email protected]"
AuthLDAPBindPassword topsecretpassword
Require ldap-group CN=Mygroup,OU=mydomain,DC=local
</Directory>
我尝试添加“KrbLocalUserMapping On”,但同样的问题仍然存在。
如果我禁用 Require ldap-group 行,一切都会正常工作,我可以通过 kerberos 进行身份验证,并在日志中看到我的用户名(无论是[电子邮件保护]或者只是 firstname.last 并且开启 KrbLocalUserMapping)
我怎样才能让它工作?
编辑:我刚刚尝试过
AuthLDAPURL ldap://oneaupwdc01.onevue.com.au.local/DC=onevue,DC=com,DC=au,DC=local?userPrincipalName
禁用 KrbLocalUserMapping,结果相同。