LDAP Authorisation in Apache
Hallo,
mein Apache authentifiziert Benutzer gegen einen MIT Kerberos; die
Authorisation (Gruppenmitgliedschaft) soll über einen OpenLDAP laufen
(alles unter Debian Etch mit mitgelieferten Versionen). Nach
erfolgreicher Authentifizierung schaut der Apache im LDAP nach, ob der
Benutzer "<uid>@<REALM>" existiert. Im LDAP sind die Benutzer
allerdings ohne "@<REALM>" angelegt, sodass die Authorisation
fehlschlägt.
(Zur Verifikation, dass dies das einzige Problem ist, habe ich einen
Benutzer zusätzlich mit "@<REALM>" Endung angelegt und auch in der
Gruppe eingetragen. Die Authorisation war diesmal erfolgreich.
Allerdings würde das Eintragen aller Benutzer mit "@<REALM>" Endung
sicher zu Problemen an anderen Stellen führen.)
Zur sauberen Lösung des Problems soll entweder Apache die Anfrage
nach "<uid>" an den LDAP stellen oder LDAP "<uid>@<REALM>" wie "<uid>"
behandeln. Mit der Option authz-regexp in slapd.conf bin ich nicht
glücklich geworden.
Könnte mir bitte jemand einen Tipp geben?
Vielen Dank im Voraus.
Viele Grüße,
Christian
Reply to: