Аутентификация только групповых пользователей в LDAP
Я пытаюсь настроить аутентификацию LDAP.
Группа Информатин:
ldapsearch -x -h ldap-corporate -b "o=example.com,c=us" "cn=Security "
# extended LDIF
#
# LDAPv3
# base <o=example.com,c=us> with scope subtree
# filter: cn=Security
# requesting: ALL
#
# Security , lm8100, example.com, US
dn: cn=Security , ou=lm8100, o=example.com, c=US
businessCategory: secadm
cn: Security
objectClass: groupOfUniqueNames
objectClass: epicGroup
objectClass: top
uniqueMember: cn=Kim Ldaf + uid=CLKM9876,ou=lm8100,o=example.com,c=US
uniqueMember: cn=HLK MNOIL+uid=DKL06, ou=lm8100,o=example.com,c=us
uniqueMember: cn=TREKS DNKO+uid=RIK02, ou=lm8100,o=example.com,c=US
Это моя конфигурация, и она принимает всех действительных пользователей LDAP, но мое требование - принимать только действительных пользователей для этой конкретной группы:
У нас разные подразделения в группе.
<Directory "/opt/hd/wsvr/docs/support/helpdesk">
AllowOverride None
Order deny,allow
Allow from all
AuthType Basic
AuthName "Protected"
Require valid-user
AuthBasicAuthoritative Off
AuthzLDAPAuthoritative Off
AuthBasicProvider ldap
AuthLDAPUrl ldap://HOST/o=example.com,c=us?uid?sub
Require ldap-group cn=SC HelpDesk,o=example.com,c=US
</Directory>
2 ответа
У вас есть два Require директивы, которые имеют противоречивые значения.
Как уже упоминалось @bodgit, у вас есть Require valid-user, что позволяет каждому, кто является действительным пользователем. У вас также есть Require ldap-group cn=SC HelpDesk,o=example.com,c=US, что позволяет только членам вашей группы SC HelpDesk. Однако до тех пор, пока выполняется любое из этих требований, доступ будет разрешен. Вы должны удалить Require valid-user директивы.
У тебя есть Require valid-user в вашей конфигурации, которая позволяет любому пользователю, если они успешно проходят проверку подлинности.