web-dev-qa-db-ja.com

ADサブグループを使用したApacheLDAP認証

Apacheで実行されているWebサイトでActiveDirectoryユーザーを使用して認証しようとしています。

私の設定

Active Directory:ユーザー「steven」はグループ「staff」のメンバーです。ユーザー「cindy」は、「staff」のメンバーであるグループ「finances」のメンバーです(= cindyは「staff」グループのサブグループのメンバーです)。

Apache:mod_authnz_ldapを使用したApache 2.4

私のApacheサイト構成:

AuthName "Please enter your login data."

AuthType Basic
AuthBasicProvider ldap

AuthLDAPBindDN [email protected]
AuthLDAPBindPassword "userpassword"

AuthLDAPURL "ldap://dc.domain.local/DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)"

Require ldap-group CN=Staff,OU=Groups,OU=Accounts,DC=domain,DC=local

問題

Steven(または「staff」グループの直接メンバーになる他のユーザー)は正常に認証されますが、cindyなどのサブグループのメンバーは認証されません。

「AuthLDAPMaxSubGroupDepth10」(とにかく10がデフォルト値であるはずです)を追加しようとしましたが、それも役に立ちませんでした。

助けることができるかもしれない誰か?

3
Aaron

AuthLDAPMaxSubGroupDepthディレクティブを使用する機会はありませんでした。私はいつも LDAP_MATCHING_RULE_IN_CHAIN 検索コントロールを代わりに使用しました。あなたはそれを見るかもしれません。 DC自体がネストされたグループを解決するため、DCとApacheの間のネットワークトラフィックに関しては、パフォーマンスが向上するはずです。

2
Evan Anderson