Динамическая аутентификация Apache с LDAP на основе строки запроса?

Question

Динамическая аутентификация Apache с LDAP на основе строки запроса?

Можно использовать часть URI запроса в качестве входа в mod_authnz_ldap Require ldap-group Директива?

Я пытаюсь динамически проверить доступ к множеству различных каталогов проектов, все по http://testserver.com/projects/, так что пользователь получает доступ /projects/abc будет проверен на членство в cn=abc,ou=groups,dc=test, В идеале я хотел бы сделать это, не создавая отдельную директиву Location для каждого проекта, поскольку их вполне может быть сотни.

Я придумал это, которое иллюстрирует общую концепцию, но не работает (имя_проекта не получает фактическое содержимое переменной):

<Location /projects>
    SetEnvIf Request_URI "/projects/([-a-z0-9A-Z_]+)/" project_name=$1

    AuthType Basic
    AuthBasicProvider ldap
    AuthName "Restricted Resource - SVN (LDAP)"
    AuthLDAPURL "ldap://127.0.0.1:389/dc=test?uid"
    AuthLDAPGroupAttributeIsDN off
    AuthLDAPGroupAttribute memberUid
    Require ldap-group cn=%{project_name},ou=groups,dc=test
</Location>

Помогите?

12

apache-2.2 ldap environment-variables mod-auth-ldap

Источник

Chris 12 июл '11 в 19:39

3 ответа

Другие вопросы по тегам apache-2.2 ldap environment-variables mod-auth-ldap

Andrew Schulman 04 фев '21 в 11:59 2021-02-04 11:59 · Answer 1 · 2021-02-04 11:59

В Apache 2.4.8 и более поздних версиях это теперь возможно:

      SetEnvIf Request_URI "/projects/([-a-z0-9A-Z_]+)/" project_name=$1
Require ldap-group cn=%{env:project_name}, ou=groups, dc=test

Обратите внимание, что пробелы вRequireможет потребоваться директива. См. документацию mod_authnz_ldap , особенно пример 5.

Спасибо Бури за то, что он нашел ответ на этот старый вопрос в авторизации ldap Apache2 с динамическим именем группы на основе имени сервера .

Cameron Kerr 09 май '14 в 08:51 2014-05-09 08:51 · Answer 2 · 2014-05-09 08:51

Я считаю, что Apache 2.4 может предложить больше в этой области, чем 2.2... возможно, стоит взглянуть.

В качестве альтернативы, возможно, стоит взглянуть на создание собственного пользовательского модуля; это не так страшно, как кажется - если вы чувствуете себя комфортно в C.

Точно так же, разве mod_perl не предлагает много возможностей для расширения Apache с помощью хуков?

Ben-Banso 22 окт '19 в 21:05 2019-10-22 21:05 · Answer 3 · 2019-10-22 21:05

Вы можете попробовать добавить фильтр в параметр AuthLDAPURL: https://httpd.apache.org/docs/2.4/en/mod/mod_authnz_ldap.html

Может быть что-то вроде:

AuthLDAPURL "ldap://127.0.0.1:389/dc=test?uid?sub?(memberof=cn=%{project_name},ou=groups,dc=test)"

0

Источник

Ben-Banso 22 окт '19 в 21:05