Назад | Перейти на главную страницу

Аутентифицировать только пользователей группы в LDAP

Я пытаюсь настроить аутентификацию LDAP.

Группа Информатин:

ldapsearch -x -h ldap-corporate -b "o=example.com,c=us" "cn=Security "
# extended LDIF
#
# LDAPv3
# base <o=example.com,c=us> with  scope subtree
# filter: cn=Security 
# requesting: ALL
#

# Security , lm8100, example.com, US
dn: cn=Security , ou=lm8100, o=example.com, c=US
businessCategory: secadm
cn: Security 
objectClass: groupOfUniqueNames
objectClass: epicGroup
objectClass: top
uniqueMember: cn=Kim Ldaf + uid=CLKM9876,ou=lm8100,o=example.com,c=US
uniqueMember: cn=HLK MNOIL+uid=DKL06, ou=lm8100,o=example.com,c=us
uniqueMember: cn=TREKS DNKO+uid=RIK02, ou=lm8100,o=example.com,c=US

Это моя конфигурация, и она принимает всех допустимых пользователей LDAP, но мое требование - принимать только допустимых пользователей для этой конкретной группы:

У нас разные OU в группе.

<Directory "/opt/hd/wsvr/docs/support/helpdesk">

  AllowOverride None
  Order deny,allow
  Allow from all
  AuthType Basic
  AuthName "Protected"
  Require valid-user
  AuthBasicAuthoritative Off
  AuthzLDAPAuthoritative Off
  AuthBasicProvider ldap
  AuthLDAPUrl ldap://HOST/o=example.com,c=us?uid?sub
  Require ldap-group cn=SC HelpDesk,o=example.com,c=US
</Directory>

У вас есть два Require директивы, имеющие противоречивое значение.

Как упоминал @bodgit, у тебя есть Require valid-user, что позволяет всем, кто является действующим пользователем. У вас также есть Require ldap-group cn=SC HelpDesk,o=example.com,c=US, который позволяет только членам вашей группы SC HelpDesk. Однако пока либо из этих требований, доступ будет разрешен. Вам следует удалить Require valid-user директива.

У тебя есть Require valid-user в вашей конфигурации, которая позволяет любому пользователю войти, если он успешно прошел аутентификацию.