Apache LDAP में नेस्टेड समूहों में उपयोगकर्ताओं को कैसे प्रमाणित करें?

मैंने निम्नलिखित सेटअप के साथ LDAP प्रमाणीकरण काम कर रहा है

 AuthName            "whatever"
 AuthType            Basic
 AuthBasicProvider   ldap
 AuthLDAPUrl         "ldap://server/OU=SBSUsers,OU=Users,OU=MyBusiness,DC=company,DC=local?sAMAccountName?sub?(objectClass=*)"
 Require ldap-group  CN=MySpecificGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local

यह काम करता है, हालांकि मुझे उन सभी उपयोगकर्ताओं को डालना है जिन्हें मैं प्रमाणित करना चाहता हूं MySpecificGroup। लेकिन LDAP सर्वर पर मैंने कॉन्फ़िगर किया है MySpecificGroupजिसमें MyOtherGroupउपयोगकर्ताओं की एक और सूची वाला समूह भी है ।

लेकिन उन उपयोगकर्ताओं को MyOtherGroupप्रमाणित नहीं किया गया है, मैंने उन्हें सभी को मैन्युअल रूप से जोड़ना है MySpecificGroupऔर मूल रूप से नेस्टेड ग्रुपिंग का उपयोग नहीं कर सकते हैं। मैं Windows SBS 2003 का उपयोग कर रहा हूं।

क्या ऐसा करने के लिए अपाचे LDAP को कॉन्फ़िगर करने का कोई तरीका है? या क्या संभावित अनंत पुनरावृत्ति की समस्या है और इस प्रकार इसकी अनुमति नहीं है?

आपको AuthLDAPSubGroupDepthयह कार्य करने के लिए सेट करने की आवश्यकता है । आपके द्वारा यहां प्रदान किया जाने वाला पूर्णांक अधिकतम उप-समूह घोंसले की गहराई को निर्दिष्ट करता है जिसका मूल्यांकन उपयोगकर्ता खोज बंद होने से पहले किया जाएगा।

इसे अपने कॉन्फिगर में जोड़ें:

AuthLDAPSubGroupDepth 1

अधिक जानकारी: यहाँ और यहाँ ।

इसके अलावा AuthLDAPSubGroupDepth, यह केवल अपाचे 2.4 में उपलब्ध है, यह संभव है, जब Microsoft AD LDAP का उपयोग करते हुए, LDAP_MATCHING_RULE_IN_CHAIN ​​मिलान नियम का उपयोग करके नेस्टेड समूहों का उपयोग करके प्राधिकरण किया जाए। यह क्लाइंट पर उपसमूहों को खोजने की तुलना में बहुत तेज़ है, क्योंकि यह डीसी सर्वर पर नेटवर्क पर कम प्रश्नों के साथ किया जाता है।

Require ldap-filter memberof:1.2.840.113556.1.4.1941:=CN=Access to Apache,OU=My Organization Unit,DC=company,DC=com

स्ट्रिंग 1.2.840.113556.1.4.1941एक OID कहलाती है LDAP_MATCHING_RULE_IN_CHAIN। इस OID को Microsoft द्वारा अपने LDAP कार्यान्वयन (सक्रिय निर्देशिका का हिस्सा) के साथ उपयोग करने के लिए सौंपा गया है। आप इसे अन्य LDAP सर्वर के साथ उपयोग नहीं कर सकते। मानव पुन: प्रयोज्य प्रारूप है:iso(1).member_body(2).us(840).microsoft(113556).ad(1).as_schema(4).LDAP_MATCHING_RULE_IN_CHAIN(1941)

Microsoft दस्तावेज़ से:

यह नियम डीएन पर लागू होने वाले फिल्टर तक सीमित है। यह एक विशेष "विस्तारित" मैच ऑपरेटर है जो रूट के सभी तरह से ऑब्जेक्ट्स में वंश की श्रृंखला को चलाता है जब तक कि यह एक मैच नहीं पाता।

यह भी देखें:

• http://msdn.microsoft.com/en-us/library/windows/desktop/aa746475%28v=vs.85%29.aspx
• http://httpd.apache.org/docs/2.2/mod/mod_authnz_ldap.html#authorphase

ऐसा लगता है कि Apache 2.2 में आपका एकमात्र विकल्प प्रत्येक समूह को सूचीबद्ध करना है जो आपके मुख्य अधिकृत समूह द्वारा शामिल है।

Require ldap-group  CN=MySpecificGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local
Require ldap-group  CN=MyOtherGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local

यदि आपके नेस्टेड समूह बहुत जटिल नहीं हैं तो यह उचित होना चाहिए।

AD डोमेन पार करना (दो LDAP सर्वर का उपयोग करना)

आप अपने प्रमाणीकरण को प्रॉक्सी करने के लिए अपने वेब सर्वर पर चल रहे slapd_meta ओवरले के साथ OpenLDAP सेट कर सकते हैं ।

/etc/ldap/slapd.conf कुछ इस तरह दिखना चाहिए:

database meta
suffix   "DC=company,DC=local"
uri      "ldap://a.foo.com/OU=MyBusiness,DC=company,DC=local"
uri      "ldap://b.foo.com/OU=otherdomainsuffix,DC=company,DC=local"

तब, आपका mod_authnz_ldap श्लोक कुछ इस तरह दिखाई देगा:

AuthName            "whatever"
AuthType            Basic
AuthBasicProvider   ldap
AuthLDAPUrl         "ldapi:///DC=company,DC=local?sAMAccountName?sub?(objectClass=*)"
Require ldap-group  CN=MySpecificGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local
Require ldap-group  CN=MyOtherGroup,OU=Security Groups,OU=otherdomainsuffix,DC=company,DC=local

इसे काम करने के लिए कुछ मालिश की आवश्यकता होगी, लेकिन मुझे लगता है कि यह सामान्य विचार है।

जबकि @Mircea_Vutcovici द्वारा प्रदान किए गए समाधान ने मेरे लिए काम किया, मेरी एकमात्र आलोचना यह है कि जब लोग उपयोग में बिटवाइज़ ऑपरेटरों को देखते हैं, तो वे स्क्विश हो सकते हैं।

उदाहरण के लिए, मैं अपाचे ब्लडहाउंड इंस्टालेशन को सौंप दूंगा, जो कि अपाचे एचटीटीपी का उपयोग एडी ग्रुप ऑडर के साथ फ्रंट एंड के रूप में करता है, साथी डेवलपर्स के समूह को। वे बिटवाइज़ ऑपरेटरों के साथ पकड़ में आने वाले मुद्दों के लिए जा रहे हैं। एडमिन बेशक नहीं होगा ... मुझे उम्मीद है।

कहा जा रहा है, मेरे पास एक समाधान है जो बिटकॉइन ऑपरेटर का उपयोग नहीं करता है और जो कई ldap- समूह परिभाषाओं का उपयोग नहीं करता है।

निम्नलिखित विन्यास मेरे लिए काम करता है:

<Location /protected>
    # Using this to bind
    AuthLDAPURL "ldap://<MY_SERVER>:3268/<MY_SEARCH_BASE>?sAMAccountName?sub?(objectClass=user)"
    AuthLDAPBindDN "<MY_BIND_DN>"
    AuthLDAPBindPassword "<MY_PASSWORD>"
    LDAPReferrals Off

    AuthType Basic
    AuthName "USE YOUR AD ACCOUNT"
    AuthBasicProvider ldap
    Require ldap-group <MY_PARENT_GROUP>
    AuthLDAPMaxSubGroupDepth 1
    AuthLDAPSubgroupAttribute member
    AuthLDAPSubGroupClass group
    AuthLDAPGroupAttribute member
    AuthLDAPGroupAttributeIsDN on
</Location>

महत्वपूर्ण हिस्सा निम्नलिखित विन्यास था:

AuthLDAPSubGroupClass group

AuthLDAPMaxSubGroupDepth खुद से काम नहीं करता है, न ही जब AuthLDAPSubgroupAttribute के साथ युग्मित किया जाता है। यह तभी हुआ था जब मैंने AuthLDAPSubGroupClass का उपयोग किया था, जो उप समूहों के खिलाफ काम कर रहा था ... कम से कम मेरे और मेरी स्थिति के लिए।