Я пытаюсь запустить VirtualHost (ну, несколько VirutalHosts) с аутентификацией Kerberos и требованиями группы.
Моя последняя конфигурация в <Directory> директива выглядит так:
AllowOverride None
Order allow,deny
allow from all
AuthType Kerberos
AuthName "Kerberos Realm Login"
KrbAuthRealm LAN
Krb5KeyTab /etc/apache2/auth/apache2.keytab
KrbMethodK5Passwd On
KrbSaveCredentials On
KrbLocalUserMapping On
AuthzLDAPAuthoritative On
Require ldap-group devel
Проверяя это, после ввода правильных учетных данных я получаю следующую ошибку:
access to / failed, reason:
require directives present and no Authoritative handler.
При вводе неправильных учетных данных Kerberos доступ будет полностью запрещен. Таким образом, аутентификация работает, но, похоже, не может проверить требования группы.
На сервере также настроен PAM для работы с той же областью Kerberos и базой данных LDAP.
Я обнаружил что "Require valid-user" дает ту же ошибку, но "Require user username" не.
Как я могу правильно настроить это, чтобы продолжить аутентификацию по Kerberos и снова авторизовать его LDAP?
Я использую apache2.2.20 в Ubuntu 11.10 x64.
В документация для mod_authnz_ldap предполагает, что AuthzLDAPAuthoritative предназначен для аутентификации:
Описание: запретить другим модулям аутентификации аутентифицировать пользователя в случае сбоя этого.
Вы должны попытаться отключить это, чтобы увидеть, позволит ли это успешно пройти проверку подлинности Kerberos (но при этом по-прежнему требуется членство в группе).