Назад | Перейти на главную страницу

Apache Kerberos / LDAP: не удалось прочитать требуемый входной параметр: было указано недопустимое имя (, Неизвестная ошибка)

(Debian Squeeze) У меня Apache аутентифицируется через Kerberos - это нормально работает. Теперь я хочу ограничить сайт только одной группой, поэтому мне нужно добавить авторизацию LDAP. Я включил authnz_ldap и отредактировал конфигурацию apache. Когда я использую директиву «Требовать ldap-group», я получаю следующую ошибку в журнале ошибок apache:

gss_display_name() failed: A required input parameter could not be read: An invalid name was supplied (, Unknown error)

Конфигурация в apache.conf:

<Directory /var/www/kerberos>
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbAuthRealms MYDOMAIN.LOCAL
Krb5KeyTab /etc/krb5.keytab
KrbServiceName HTTP/webserver.mydomain.local@MYDOMAIN.LOCAL
AuthLDAPURL "ldap://primarydc.mydomain.local/DC=mydomain,DC=local?sAMAccountName?sub?(objectClass=*)"
AuthLDAPBindDN "LDAPlookup@mydomain.local"
AuthLDAPBindPassword topsecretpassword
Require ldap-group CN=Mygroup,OU=mydomain,DC=local
</Directory>

Я пробовал добавить «KrbLocalUserMapping On», но проблема осталась.

Если я отключу строку Require ldap-group, все будет работать нормально, я могу пройти аутентификацию через kerberos и увидеть свое имя пользователя в журналах (либо как firstname.last@MYDOMAIN.LOCAL, либо просто firstname.last с KrbLocalUserMapping On)

Как я могу заставить это работать?

Изменить: я только что попробовал

AuthLDAPURL ldap://oneaupwdc01.onevue.com.au.local/DC=onevue,DC=com,DC=au,DC=local?userPrincipalName

с отключенным KrbLocalUserMapping и имел тот же результат.