Назад | Перейти на главную страницу

Аутентификация Apache HTTPd на нескольких серверах LDAP с просроченными учетными записями

Мы используем mod_authnz_ldap и mod_authn_alias в Apache 2.2.9 (поставляемом в Debian 5.0, 2.2.9-10 + lenny7) для аутентификации в нескольких доменах Active Directory для размещения репозитория Subversion. Наша текущая конфигурация:

# Turn up logging
LogLevel debug

# Define authentication providers
<AuthnProviderAlias ldap alpha>
  AuthLDAPBindDN "CN=Subversion,OU=Service Accounts,O=Alpha"
  AuthLDAPBindPassword [[REDACTED]]
  AuthLDAPURL ldap://dc01.alpha:3268/?sAMAccountName?sub?
</AuthnProviderAlias>

<AuthnProviderAlias ldap beta>
  AuthLDAPBindDN "CN=LDAPAuth,OU=Service Accounts,O=Beta"
  AuthLDAPBindPassword [[REDACTED]]
  AuthLDAPURL ldap://ldap.beta:3268/?sAMAccountName?sub?
</AuthnProviderAlias>

# Subversion Repository
<Location /svn>
  DAV svn
  SVNPath /opt/svn/repo
  AuthName "Subversion"
  AuthType Basic
  AuthBasicProvider alpha beta
  AuthzLDAPAuthoritative off
  AuthzSVNAccessFile /opt/svn/authz
  require valid-user
</Location>

Мы сталкиваемся с проблемами с пользователями, у которых есть учетные записи как в альфа-версии, так и в бета-версии, особенно когда срок их учетных записей в альфа-версии истек (но все еще присутствует; политика компании заключается в том, что учетные записи существуют как минимум 1 год). Например, когда пользователь x (у которого истек срок действия учетной записи в альфа-версии и действующей учетной записи в бета-версии), журнал ошибок Apache сообщает следующее:

[Tue May 11 13:42:07 2010] [debug] mod_authnz_ldap.c(377): [client 10.1.1.104] [14817] auth_ldap authenticate: using URL ldap://dc01.alpha:3268/?sAMAccountName?sub?
[Tue May 11 13:42:08 2010] [warn] [client 10.1.1.104] [14817] auth_ldap authenticate: user x authentication failed; URI /svn/ [ldap_simple_bind_s() to check user credentials failed][Invalid credentials]
[Tue May 11 13:42:08 2010] [error] [client 10.1.1.104] user x: authentication failure for "/svn/": Password Mismatch
[Tue May 11 13:42:08 2010] [debug] mod_deflate.c(615): [client 10.1.1.104] Zlib: Compressed 527 to 359 : URL /svn/

Попытка пройти аутентификацию в качестве несуществующего пользователя (nobodycool) приводит к правильному поведению запросов к обоим серверам LDAP:

[Tue May 11 13:42:40 2010] [debug] mod_authnz_ldap.c(377): [client 10.1.1.104] [14815] auth_ldap authenticate: using URL ldap://dc01.alpha:3268/?sAMAccountName?sub?
[Tue May 11 13:42:40 2010] [warn] [client 10.1.1.104] [14815] auth_ldap authenticate: user nobodycool authentication failed; URI /svn/ [User not found][No such object]
[Tue May 11 13:42:40 2010] [debug] mod_authnz_ldap.c(377): [client 10.1.1.104] [14815] auth_ldap authenticate: using URL ldap://ldap.beta:3268/?sAMAccountName?sub?
[Tue May 11 13:42:44 2010] [warn] [client 10.1.1.104] [14815] auth_ldap authenticate: user nobodycool authentication failed; URI /svn/ [User not found][No such object]
[Tue May 11 13:42:44 2010] [error] [client 10.1.1.104] user nobodycool not found: /svn/
[Tue May 11 13:42:44 2010] [debug] mod_deflate.c(615): [client 10.1.1.104] Zlib: Compressed 527 to 359 : URL /svn/

Как настроить Apache для правильного запроса бета-версии, если он обнаруживает просроченную учетную запись в альфа-версии?

В AuthzLDAPAuthoritative off Директива позволит аутентификации перейти к следующему модулю только в том случае, если пользователь не может быть сопоставлен с DN в запросе. В настоящее время, даже если срок действия пользователя истек, кажется, что его учетная запись все равно будет возвращена в результате выполнения запроса LDAP.

Я недостаточно знаю схему ActiveDirectory LDAP, чтобы дать здесь однозначный ответ, но если бы вы могли добавить фильтр в свой AuthLDAPURL Директива, которая отфильтровывает просроченные учетные записи, должна привести к тому, что имя пользователя не будет соответствовать ни одному DN в запросе. Это должно привести к тому, что аутентификация не пройдет до следующего модуля.