主页 / server / 问题 / 431485
Accepted
DmitrySemenov
Asked: 2012-09-25 11:20:55 +0800 CST

LDAP Auth 检查用户所属的组?

  • 772

这是我要解决的问题。

我们有一个 mercurial 源代码控制服务器(Linux + Apache + mod_auth),我想对其进行配置以使其与 LD​​AP 兼容(现在它是 apache 上的基本授权,密码存储在 .htpasswd 文件中)。我将开发人员放在 OU 中,名称为“Developers”

'OU=Developers,DC=us,DC=domain,DC=com'

问题是我们有各种各样的项目,其中一些项目应该只允许某些开发人员访问。我可以在开发人员中放置不同的 OU,但我不能在多个 OU 中出现相同的用户帐户。同时我不喜欢每个用户有多个帐户(将来更难管理)

所以我在想是否可以针对 OU 和某些逻辑组进行授权?

就像我创建了 OU“开发人员”,然后创建了几个窗口组——比如 ProjectA、projectB、projectC,并将开发人员分配给这些组。

是否可以配置 LDAP base dn,以便它也查找组?

谢谢,德米特里

apache-2.2

1 个回答

  1. Best Answer

    因此,我们在 的 OU 中有用户OU=Developers,DC=us,DC=domain,DC=com,然后某些位置也需要具有特定的组成员资格 - 就像CN=ProjectA,OU=Developers,DC=us,DC=domain,DC=com一个组。

    这些方面的东西应该可以解决问题..

    <Location />
    AuthType basic
    AuthName "user message on login"
    AuthBasicProvider ldap
    AuthzLDAPAuthoritative on
    # This is your LDAP server configuration - if you can, use SSL (which requires
    # configuring either an LDAPTrustedGlobalCert or to set LDAPVerifyServerCert Off)
    # The search base DN is included here.
    AuthLDAPURL "ldaps://ldap-server.example.com:636/OU=Developers,DC=us,DC=domain,DC=com?cn"
    # This is the user account that will be used by Apache to bind to LDAP for auth checking.
    AuthLDAPBindDN "CN=ldapserviceaccount,OU=Developers,DC=us,DC=domain,DC=com"
    AuthLDAPBindPassword "passwordhere"
    # For just the / location, we'll force a valid login (any user account in the OU)
    Require valid-user
</Location>
<Location /project-a>
    # And here we'll configure a specific group for this location
    Require ldap-group CN=ProjectA,OU=Developers,DC=us,DC=domain,DC=com
</Location>
    • 1

相关问题