Apache Authentifizierung gegen OpenLDAP

Nachdem es an der einen oder anderen Stelle doch etwas trickreicher war, als angenommen – hier meine Gedächtnisstütze ;)

Zunächst muss Apache LDAP verstehen, unter Gentoo über USE=”ldap” respektive über einen entsprechenden Eintrag in der make.conf oder package.use.

USE=”ldap” emerge apache

In /etc/conf.d/apache müssen nun das ldap-Modul wie auch das authnz_ldap-Modul aktiviert werden.

peggy ~ # grep -i ldap /etc/conf.d/apache2
# AUTHNZ_LDAP Enables authentication through mod_ldap (available if USE=ldap)
# LDAP Enables mod_ldap (available if USE=ldap)
APACHE2_OPTS=”-D SSL -D NAGIOS -D PHP5 -D LDAP -D AUTHNZ_LDAP”

Nun kann gegen OpenLDAP authentifiziert werden, so entsprechende Benutzer und Gruppen im Verzeichnis vorhanden sind.

AuthType Basic
AuthBasicProvider ldap
AuthLDAPUrl ldap://localhost:389/ou=users,dc=libexec,dc=de?uid?sub
AuthzUserAuthoritative On
AuthzLDAPAuthoritative Off
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN Off
AuthName “Foo”
require valid-user

Anstelle des “require valid-user” kann die Berechtigung auch auf einzelne Benutzer

require ldap-user “Hermann Foo”

oder Gruppen beschränkt werden.

require ldap-group cn=foo,ou=webaccess,ou=groups,dc=libexec,dc=de

Mitglieder einer Gruppe werden hier als memberUid abgelegt, so dass bei Berechtigung nach Gruppen dieses Attribut herangezogen wird. Als default würden die member oder uniquemember beachtet.

Weiteres verrät die mod_authnz_ldap-Doku.

Leave a Comment

(required)

(required)

Formatting your Comment
(Close)

Formatting Your Comment

The following XHTML tags are available for use:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre lang="" line="" escaped="">

URLs are automatically converted to hyperlinks.