使用 AD 子组进行 Apache LDAP 身份验证

tag-icon tag-icon active-directory ldap authentication apache-2.4
使用 AD 子组进行 Apache LDAP 身份验证

我正在尝试使用 Apache 上运行的网站上的 Active Directory 用户进行身份验证。

我的设置

活动目录:用户“steven”是组“staff”的成员。用户“cindy”是组“finances”的成员,而该组又是“staff”的成员(= cindy 是“staff”组的一个子组的成员)。

阿帕奇:带有 mod_authnz_ldap 的 Apache 2.4

我的 Apache 站点配置:

AuthName "Please enter your login data."

AuthType Basic
AuthBasicProvider ldap

AuthLDAPBindDN [email protected]
AuthLDAPBindPassword "userpassword"

AuthLDAPURL "ldap://dc.domain.local/DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)"

Require ldap-group CN=Staff,OU=Groups,OU=Accounts,DC=domain,DC=local

问题

史蒂文(或任何其他直接属于“工作人员”组的用户)身份验证成功,但辛迪等子组的成员无法进行身份验证。

我已经尝试添加“AuthLDAPMaxSubGroupDepth 10”(无论如何 10 应该是默认值)但这也没有帮助。

有谁可以帮忙吗?

答案1

我还没有机会使用这个AuthLDAPMaxSubGroupDepth指令。我一直使用LDAP_MATCHING_RULE_IN_CHAIN搜索控件。您可以看看这个。就 DC 和 Apache 之间的网络流量而言,它应该表现得更好,因为 DC 本身将解析嵌套组。

相关内容