Active-Directory

帶有 AD 子組的 Apache LDAP 身份驗證

  • June 26, 2014

我正在嘗試在 Apache 上執行的網站上使用 Active Directory 使用者進行身份驗證。

我的設置

*Active Directory:*使用者“steven”是組“staff”的成員。使用者“cindy”是組“finances”的成員,該組是“staff”的成員(= cindy 是“staff”組的子組的成員)。

*Apache:*帶有 mod_authnz_ldap 的 Apache 2.4

我的 Apache 站點配置:

AuthName "Please enter your login data."

AuthType Basic
AuthBasicProvider ldap

AuthLDAPBindDN account@domain.local
AuthLDAPBindPassword "userpassword"

AuthLDAPURL "ldap://dc.domain.local/DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)"

Require ldap-group CN=Staff,OU=Groups,OU=Accounts,DC=domain,DC=local

問題

Steven(或任何其他將成為“staff”組的直接成員的使用者)成功驗證,但是子組的成員,例如 cindy 將不會驗證。

我已經嘗試添加“AuthLDAPMaxSubGroupDepth 10”(無論如何,10 應該是預設值),但這也無濟於事。

有誰能幫忙嗎?

我沒有機會使用該AuthLDAPMaxSubGroupDepth指令。我一直使用LDAP_MATCHING_RULE_IN_CHAIN搜尋控制項。你可以看看那個。它應該在 DC 和 Apache 之間的網路流量方面表現更好,因為 DC 本身將解析嵌套組。

引用自:https://serverfault.com/questions/608126