ADサブグループを使用したApacheLDAP認証
Apacheで実行されているWebサイトでActiveDirectoryユーザーを使用して認証しようとしています。
私の設定
Active Directory:ユーザー「steven」はグループ「staff」のメンバーです。ユーザー「cindy」は、「staff」のメンバーであるグループ「finances」のメンバーです(= cindyは「staff」グループのサブグループのメンバーです)。
Apache:mod_authnz_ldapを使用したApache 2.4
私のApacheサイト構成:
AuthName "Please enter your login data."
AuthType Basic
AuthBasicProvider ldap
AuthLDAPBindDN [email protected]
AuthLDAPBindPassword "userpassword"
AuthLDAPURL "ldap://dc.domain.local/DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)"
Require ldap-group CN=Staff,OU=Groups,OU=Accounts,DC=domain,DC=local
問題
Steven(または「staff」グループの直接メンバーになる他のユーザー)は正常に認証されますが、cindyなどのサブグループのメンバーは認証されません。
「AuthLDAPMaxSubGroupDepth10」(とにかく10がデフォルト値であるはずです)を追加しようとしましたが、それも役に立ちませんでした。
助けることができるかもしれない誰か?
AuthLDAPMaxSubGroupDepthディレクティブを使用する機会はありませんでした。私はいつも LDAP_MATCHING_RULE_IN_CHAIN 検索コントロールを代わりに使用しました。あなたはそれを見るかもしれません。 DC自体がネストされたグループを解決するため、DCとApacheの間のネットワークトラフィックに関しては、パフォーマンスが向上するはずです。