Nachdem es an der einen oder anderen Stelle doch etwas trickreicher war, als angenommen – hier meine Gedächtnisstütze ;)
Zunächst muss Apache LDAP verstehen, unter Gentoo über USE=”ldap” respektive über einen entsprechenden Eintrag in der make.conf oder package.use.
USE=”ldap” emerge apache
In /etc/conf.d/apache müssen nun das ldap-Modul wie auch das authnz_ldap-Modul aktiviert werden.
peggy ~ # grep -i ldap /etc/conf.d/apache2
# AUTHNZ_LDAP Enables authentication through mod_ldap (available if USE=ldap)
# LDAP Enables mod_ldap (available if USE=ldap)
APACHE2_OPTS=”-D SSL -D NAGIOS -D PHP5 -D LDAP -D AUTHNZ_LDAP”
Nun kann gegen OpenLDAP authentifiziert werden, so entsprechende Benutzer und Gruppen im Verzeichnis vorhanden sind.
AuthType Basic
AuthBasicProvider ldap
AuthLDAPUrl ldap://localhost:389/ou=users,dc=libexec,dc=de?uid?sub
AuthzUserAuthoritative On
AuthzLDAPAuthoritative Off
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN Off
AuthName “Foo”
require valid-user
Anstelle des “require valid-user” kann die Berechtigung auch auf einzelne Benutzer
require ldap-user “Hermann Foo”
oder Gruppen beschränkt werden.
require ldap-group cn=foo,ou=webaccess,ou=groups,dc=libexec,dc=de
Mitglieder einer Gruppe werden hier als memberUid abgelegt, so dass bei Berechtigung nach Gruppen dieses Attribut herangezogen wird. Als default würden die member oder uniquemember beachtet.
Weiteres verrät die mod_authnz_ldap-Doku.
