Как аутентифицировать пользователей во вложенных группах в Apache LDAP?

Кроме того AuthLDAPSubGroupDepth, который доступен только в Apache 2.4, возможно, при использовании Microsoft AD LDAP, выполнить авторизацию, используя вложенные группы, используя правило сопоставления LDAP_MATCHING_RULE_IN_CHAIN. Это намного быстрее, чем поиск подгрупп на клиенте, потому что это делается на сервере DC с меньшим количеством запросов по сети.

Require ldap-filter memberof:1.2.840.113556.1.4.1941:=CN=Access to Apache,OU=My Organization Unit,DC=company,DC=com

Строка 1.2.840.113556.1.4.1941 называется OID LDAP_MATCHING_RULE_IN_CHAIN, Этот OID назначается Microsoft для использования с реализацией LDAP (часть Active Directory). Вы не можете использовать его с другими серверами LDAP. Формат, пригодный для человека: iso(1).member_body(2).us(840).microsoft(113556).ad(1).as_schema(4).LDAP_MATCHING_RULE_IN_CHAIN(1941)

Из документации Microsoft:

Это правило ограничено фильтрами, которые применяются к DN. Это специальный "расширенный" оператор сопоставления, который проходит цепочку предков в объектах вплоть до корня, пока не найдет совпадение.

Смотрите также:

• http://msdn.microsoft.com/en-us/library/windows/desktop/aa746475%28v=vs.85%29.aspx
• http://httpd.apache.org/docs/2.2/mod/mod_authnz_ldap.html

Похоже, что ваша единственная возможность в Apache 2.2 - перечислить каждую группу, которая входит в вашу основную авторизованную группу.

Require ldap-group  CN=MySpecificGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local
Require ldap-group  CN=MyOtherGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local

Это должно быть разумно, если ваши вложенные группы не слишком сложны.

Пересечение доменов AD (с использованием двух серверов LDAP)

Вы можете настроить OpenLDAP с оверлеем slapd_meta, работающим на вашем веб-сервере, для прокси-аутентификации.

/etc/ldap/slapd.conf должен выглядеть примерно так:

database meta
suffix   "DC=company,DC=local"
uri      "ldap://a.foo.com/OU=MyBusiness,DC=company,DC=local"
uri      "ldap://b.foo.com/OU=otherdomainsuffix,DC=company,DC=local"

Тогда ваш раздел mod_authnz_ldap будет выглядеть примерно так:

AuthName            "whatever"
AuthType            Basic
AuthBasicProvider   ldap
AuthLDAPUrl         "ldapi:///DC=company,DC=local?sAMAccountName?sub?(objectClass=*)"
Require ldap-group  CN=MySpecificGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local
Require ldap-group  CN=MyOtherGroup,OU=Security Groups,OU=otherdomainsuffix,DC=company,DC=local

Это потребует некоторого массажа, чтобы заставить его работать, но я думаю, что это общая идея.

Хотя решение, предоставленное @Mircea_Vutcovici, сработало для меня, моя единственная критика заключается в том, что люди могут стать брезгливыми, когда увидят, что используются битовые операторы.

Например, я передам установку коллеге-разработчикам установки Apache Bloodhound, которая использует Apache HTTPd в качестве внешнего интерфейса с аутентификацией группы AD. У них будут проблемы с битовыми операторами. Админы не будут такими брезгливыми конечно... надеюсь.

При этом у меня есть решение, которое не использует побитовый оператор и не использует несколько определений ldap-группы.

У меня работает следующий конфиг:

<Location /protected>
    # Using this to bind
    AuthLDAPURL "ldap://<MY_SERVER>:3268/<MY_SEARCH_BASE>?sAMAccountName?sub?(objectClass=user)"
    AuthLDAPBindDN "<MY_BIND_DN>"
    AuthLDAPBindPassword "<MY_PASSWORD>"
    LDAPReferrals Off

    AuthType Basic
    AuthName "USE YOUR AD ACCOUNT"
    AuthBasicProvider ldap
    Require ldap-group <MY_PARENT_GROUP>
    AuthLDAPMaxSubGroupDepth 1
    AuthLDAPSubgroupAttribute member
    AuthLDAPSubGroupClass group
    AuthLDAPGroupAttribute member
    AuthLDAPGroupAttributeIsDN on
</Location>

Критическая часть была следующая конфигурация:

AuthLDAPSubGroupClass group

AuthLDAPMaxSubGroupDepth не работает ни сам по себе, ни в сочетании с AuthLDAPSubgroupAttribute. Только когда я использовал AuthLDAPSubGroupClass, аутентификация для подгрупп стала работать... по крайней мере, для меня и моей ситуации.