Сначала я хотел настроить авторизацию пользователей через модуль pam. Но из-за ошибки в текущем модуле libapache2-mod-auth-pam от данного способа пришлось отказаться.
Мой выбор остановился на модуле authnz_ldap. Итак настраиваем авторизацию через LDAP.
Включаем модуль authnz_ldap и ldap:
# a2enmod authnz_ldap
Настраиваем авторизацию в конфигурационном файле Apache (приведены только необходимые для авторизации команды):
# Отключаем проверку сертификата при ssl подключении к ldap
LDAPVerifyServerCert OFF
AuthType Basic
AuthBasicProvider ldap
# Строка подключения к LDAP серверу (http://httpd.apache.org/docs/2.0/mod/mod_auth_ldap.html#authldapurl)
AuthLDAPURL "ldaps://dc.example.com/ou=dep,dc=firma,dc=com?sAMAccountName?sub?(objectClass=user)" NONE
# Поскольку Active Directory не разрешает анонимные подключения то необходимо указать пользователя и пароль под которым будет выполняться поиск в LDAP
AuthLDAPBindDN "ldapquery@firma.com"
AuthLDAPBindPassword "topsecret"
# Ограничиваем доступ только членам группы subversion в Active Directory. Необходимо указывать memberOf в формате LDAP
require ldap-attribute memberOf=CN=subversion,OU=dep,DC=firma,DC=com
# Информационная строка, которая отображается при запросе пароля
AuthName "Subversion repository"
Если нет необходимости в использование SSL для подключения к LDAP, то команду LDAPVerifyServerCert можно убрать использовать параметр AuthLDAPURL вида "ldap://..."
No comments:
Post a Comment