Я пытаюсь пройти аутентификацию с помощью пользователя Active Directory на веб-сайте, запущенном на Apache.
Моя установка
Active Directory: Пользователь «steven» входит в группу «Staff». Пользователь «cindy» является членом группы «финансы», которая является членом «staff» (= cindy является членом подгруппы группы «staff»).
Apache: Apache 2.4 с mod_authnz_ldap
Конфигурация моего сайта Apache:
AuthName "Please enter your login data."
AuthType Basic
AuthBasicProvider ldap
AuthLDAPBindDN account@domain.local
AuthLDAPBindPassword "userpassword"
AuthLDAPURL "ldap://dc.domain.local/DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)"
Require ldap-group CN=Staff,OU=Groups,OU=Accounts,DC=domain,DC=local
Проблема
Стивен (или любой другой пользователь, который мог бы быть непосредственным членом группы «Staff») успешно аутентифицируется, однако члены подгрупп, такие как cindy, не аутентифицируются.
Я уже пробовал добавить AuthLDAPMaxSubGroupDepth 10 (в любом случае 10 должно быть значением по умолчанию), но это тоже не помогло.
Кто-нибудь может помочь?
У меня не было случая использовать AuthLDAPMaxSubGroupDepth директива. Я всегда использовал LDAP_MATCHING_RULE_IN_CHAIN управление поиском вместо этого. Вы могли бы взглянуть на это. Он должен работать лучше с точки зрения сетевого трафика между DC и Apache, потому что DC сам будет разрешать вложенные группы.