如何在Apache LDAP中的嵌套组中对用户进行身份验证？

我正在使用以下设置进行LDAP身份验证

 AuthName            "whatever"
 AuthType            Basic
 AuthBasicProvider   ldap
 AuthLDAPUrl         "ldap://server/OU=SBSUsers,OU=Users,OU=MyBusiness,DC=company,DC=local?sAMAccountName?sub?(objectClass=*)"
 Require ldap-group  CN=MySpecificGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local

这可行，但是我必须将所有要认证的用户放入MySpecificGroup。但是，在LDAP服务器上，我已配置为MySpecificGroup也包含MyOtherGroup带有另一个用户列表的组。

但是其中的那些用户MyOtherGroup未通过身份验证，我必须将它们全部手动添加到它们，MySpecificGroup并且基本上不能使用嵌套分组。我正在使用Windows SBS 2003。

有没有一种方法可以配置Apache LDAP？还是存在无限递归从而不允许的问题？

您需要进行设置AuthLDAPSubGroupDepth以使其工作。您在此处提供的整数指定在中断用户搜索之前将评估的最大子组嵌套深度。

将此添加到您的配置：

AuthLDAPSubGroupDepth 1

更多信息：这里和这里。

此外AuthLDAPSubGroupDepth，仅在Apache 2.4中可用，使用Microsoft AD LDAP时，可以通过使用LDAP_MATCHING_RULE_IN_CHAIN匹配规则使用嵌套组进行授权。这比在客户端上搜索子组要快得多，因为它是在DC服务器上通过网络进行较少查询的操作。

Require ldap-filter memberof:1.2.840.113556.1.4.1941:=CN=Access to Apache,OU=My Organization Unit,DC=company,DC=com

该字符串1.2.840.113556.1.4.1941是一个名为的OIDLDAP_MATCHING_RULE_IN_CHAIN。此OID由Microsoft分配，以与其LDAP实现（Active Directory的一部分）一起使用。您不能将其与其他LDAP服务器一起使用。人工可重编格式为：iso(1).member_body(2).us(840).microsoft(113556).ad(1).as_schema(4).LDAP_MATCHING_RULE_IN_CHAIN(1941)

从Microsoft文档：

此规则仅限于适用于DN的过滤器。这是一个特殊的“扩展”匹配运算符，它将对象中的祖先链一直走到根，直到找到匹配项。

也可以看看：

• http://msdn.microsoft.com/zh-CN/library/windows/desktop/aa746475%28v=vs.85%29.aspx
• http://httpd.apache.org/docs/2.2/mod/mod_authnz_ldap.html#authorphase

看起来在Apache 2.2中，您唯一的选择是列出您的主要授权组所包括的每个组。

Require ldap-group  CN=MySpecificGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local
Require ldap-group  CN=MyOtherGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local

如果您的嵌套组不太复杂，这应该是合理的。

跨AD域（使用两个LDAP服务器）

您可以使用Web服务器上运行的slapd_meta覆盖设置OpenLDAP 来代理身份验证。

/etc/ldap/slapd.conf应该类似于：

database meta
suffix   "DC=company,DC=local"
uri      "ldap://a.foo.com/OU=MyBusiness,DC=company,DC=local"
uri      "ldap://b.foo.com/OU=otherdomainsuffix,DC=company,DC=local"

然后，您的mod_authnz_ldap节将类似于：

AuthName            "whatever"
AuthType            Basic
AuthBasicProvider   ldap
AuthLDAPUrl         "ldapi:///DC=company,DC=local?sAMAccountName?sub?(objectClass=*)"
Require ldap-group  CN=MySpecificGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local
Require ldap-group  CN=MyOtherGroup,OU=Security Groups,OU=otherdomainsuffix,DC=company,DC=local

这需要进行一些按摩才能使其正常工作，但是我认为这是普遍的想法。

@Mircea_Vutcovici提供的解决方案为我工作时，我唯一的批评是，人们看到使用按位运算符时，可能会变得拥挤。

例如，我将把Apache Bloodhound安装交给一组开发人员，该安装使用Apache HTTPd作为AD组auth的前端。他们将遇到按位运算符的问题。管理员当然不会那么胆怯……我希望。

就是说，我有一个不使用按位运算符并且不使用多个ldap-group定义的解决方案。

以下配置适用于我：

<Location /protected>
    # Using this to bind
    AuthLDAPURL "ldap://<MY_SERVER>:3268/<MY_SEARCH_BASE>?sAMAccountName?sub?(objectClass=user)"
    AuthLDAPBindDN "<MY_BIND_DN>"
    AuthLDAPBindPassword "<MY_PASSWORD>"
    LDAPReferrals Off

    AuthType Basic
    AuthName "USE YOUR AD ACCOUNT"
    AuthBasicProvider ldap
    Require ldap-group <MY_PARENT_GROUP>
    AuthLDAPMaxSubGroupDepth 1
    AuthLDAPSubgroupAttribute member
    AuthLDAPSubGroupClass group
    AuthLDAPGroupAttribute member
    AuthLDAPGroupAttributeIsDN on
</Location>

关键部分是以下配置：

AuthLDAPSubGroupClass group

AuthLDAPMaxSubGroupDepth不能单独使用，也不能与AuthLDAPSubgroupAttribute一起使用。只有当我使用AuthLDAPSubGroupClass时，对子组的身份验证才开始起作用……至少对于我自己和我的情况而言。