Active-Directory
帶有 AD 子組的 Apache LDAP 身份驗證
我正在嘗試在 Apache 上執行的網站上使用 Active Directory 使用者進行身份驗證。
我的設置
*Active Directory:*使用者“steven”是組“staff”的成員。使用者“cindy”是組“finances”的成員,該組是“staff”的成員(= cindy 是“staff”組的子組的成員)。
*Apache:*帶有 mod_authnz_ldap 的 Apache 2.4
我的 Apache 站點配置:
AuthName "Please enter your login data." AuthType Basic AuthBasicProvider ldap AuthLDAPBindDN account@domain.local AuthLDAPBindPassword "userpassword" AuthLDAPURL "ldap://dc.domain.local/DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)" Require ldap-group CN=Staff,OU=Groups,OU=Accounts,DC=domain,DC=local
問題
Steven(或任何其他將成為“staff”組的直接成員的使用者)成功驗證,但是子組的成員,例如 cindy 將不會驗證。
我已經嘗試添加“AuthLDAPMaxSubGroupDepth 10”(無論如何,10 應該是預設值),但這也無濟於事。
有誰能幫忙嗎?
我沒有機會使用該
AuthLDAPMaxSubGroupDepth
指令。我一直使用LDAP_MATCHING_RULE_IN_CHAIN搜尋控制項。你可以看看那個。它應該在 DC 和 Apache 之間的網路流量方面表現更好,因為 DC 本身將解析嵌套組。