Apache-2.2
Apache LDAP 身份驗證:我可以在不先搜尋 DN 的情況下綁定使用者嗎?
在
AuthType Basic對 LDAP 伺服器進行身份驗證時,Apache 首先綁定以搜尋使用者的 DN,然後與該 DN 綁定以測試使用者的密碼。挑戰在於,使用 AD,您通常無法執行匿名綁定。所以,你必須設置AuthLDAPBindDN.但是,我說,我已經知道 DN!我不必綁定搜尋綁定,我可以綁定為
cn=_username_,OU=Employees,DC=megacorp,DC=com!這似乎是不可能的,但我想我會問:我可以說服 Apache 通過簡單地動態建構一個 DN 來跳過 bind-and-search-for-DN-to-use-for-bind,或者做我必須與當地官僚機構討論一個特殊帳戶,我可以綁定該帳戶來搜尋我希望進行身份驗證的使用者?
謝謝!
-丹尼
不幸的是,mod_auth_ldap 似乎堅持建構和執行搜尋,而不是僅僅嘗試使用您提供的 DN 進行綁定。根據我的經驗,這是大多數;大多數通過 ldap 訪問活動目錄的應用程序(而不是使用原生 NT 使用者 API)寧願搜尋然後綁定,而不是僅僅嘗試綁定。
從好的方面來說(如果你可以這樣稱呼的話),一個沒有任何權利的使用者帳戶應該可以滿足你的需求,只要你的 ldap 樹中的權限方面沒有什麼忙亂的事情;Authenticated Users 中的成員資格應該足以完成您的搜尋使用者需要做的所有事情。它甚至可以從域使用者中剝離並分配一個不同的主要組;這應該會稍微軟化當地的官僚機構。