帶有 AD 子組的 Apache LDAP 身份驗證

我正在嘗試在 Apache 上執行的網站上使用 Active Directory 使用者進行身份驗證。

我的設置

*Active Directory：*使用者“steven”是組“staff”的成員。使用者“cindy”是組“finances”的成員，該組是“staff”的成員（= cindy 是“staff”組的子組的成員）。

*Apache：*帶有 mod_authnz_ldap 的 Apache 2.4

我的 Apache 站點配置：

AuthName "Please enter your login data."

AuthType Basic
AuthBasicProvider ldap

AuthLDAPBindDN account@domain.local
AuthLDAPBindPassword "userpassword"

AuthLDAPURL "ldap://dc.domain.local/DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)"

Require ldap-group CN=Staff,OU=Groups,OU=Accounts,DC=domain,DC=local

問題

Steven（或任何其他將成為“staff”組的直接成員的使用者）成功驗證，但是子組的成員，例如 cindy 將不會驗證。

我已經嘗試添加“AuthLDAPMaxSubGroupDepth 10”（無論如何，10 應該是預設值），但這也無濟於事。

有誰能幫忙嗎？

我沒有機會使用該AuthLDAPMaxSubGroupDepth指令。我一直使用LDAP_MATCHING_RULE_IN_CHAIN搜尋控制項。你可以看看那個。它應該在 DC 和 Apache 之間的網路流量方面表現更好，因為 DC 本身將解析嵌套組。

引用自：https://serverfault.com/questions/608126