Аутентификация LDAP с проверкой относится к группе пользователей?

Question

Аутентификация LDAP с проверкой относится к группе пользователей?

Вот проблема, которую я хочу решить.

У нас есть сервер управления версиями Mercurial (Linux + Apache + mod_auth), который я хочу настроить так, чтобы он работал с LDAP (сейчас это базовая авторизация на apache с паролями, хранящимися в файлах.htpasswd). Я кладу разработчиков в OU с именем "Разработчики"

'OU=Developers,DC=us,DC=domain,DC=com'

проблема в том, что у нас есть различные проекты, и некоторые из них должны ограничивать доступ только определенным разработчикам. Я могу разместить другое OU внутри разработчиков, но у меня не может быть одной и той же учетной записи пользователя, которая будет присутствовать в нескольких OU. В то же время мне не нравится иметь несколько учетных записей на пользователя (сложнее управлять в будущем)

ТАК Я думаю, можно ли авторизоваться против OU и определенной логической группы?

Как я создал OU "Разработчики", а затем создал несколько групп окон - например, ProjectA, projectB, projectC и назначил разработчиков для этих групп.

Можно ли настроить базу LDAP dn, чтобы она также искала группу?

спасибо Дмитрий

0

apache-2.2 ldap mod-auth-ldap

Источник

DmitrySemenov 24 сен '12 в 19:20

1 ответ

Решение

Другие вопросы по тегам apache-2.2 ldap mod-auth-ldap

Shane Madden 25 сен '12 в 22:41 2012-09-25 22:41 · Accepted Answer · 2012-09-25 22:41

Итак, у нас есть пользователи в подразделении на OU=Developers,DC=us,DC=domain,DC=comтогда в определенных местах должны быть также определенные членства в группах - что-то вроде CN=ProjectA,OU=Developers,DC=us,DC=domain,DC=com как группа.

Что-то в этом роде должно помочь...

<Location />
    AuthType basic
    AuthName "user message on login"
    AuthBasicProvider ldap
    AuthzLDAPAuthoritative on
    # This is your LDAP server configuration - if you can, use SSL (which requires
    # configuring either an LDAPTrustedGlobalCert or to set LDAPVerifyServerCert Off)
    # The search base DN is included here.
    AuthLDAPURL "ldaps://ldap-server.example.com:636/OU=Developers,DC=us,DC=domain,DC=com?cn"
    # This is the user account that will be used by Apache to bind to LDAP for auth checking.
    AuthLDAPBindDN "CN=ldapserviceaccount,OU=Developers,DC=us,DC=domain,DC=com"
    AuthLDAPBindPassword "passwordhere"
    # For just the / location, we'll force a valid login (any user account in the OU)
    Require valid-user
</Location>
<Location /project-a>
    # And here we'll configure a specific group for this location
    Require ldap-group CN=ProjectA,OU=Developers,DC=us,DC=domain,DC=com
</Location>