অ্যাপাচি এলডিএপি-তে নেস্টেড গ্রুপগুলিতে ব্যবহারকারীদের কীভাবে প্রমাণীকরণ করবেন?

আমি নিম্নলিখিত সেটআপের সাথে এলডিএপি প্রমাণীকরণের কাজ করছি

 AuthName            "whatever"
 AuthType            Basic
 AuthBasicProvider   ldap
 AuthLDAPUrl         "ldap://server/OU=SBSUsers,OU=Users,OU=MyBusiness,DC=company,DC=local?sAMAccountName?sub?(objectClass=*)"
 Require ldap-group  CN=MySpecificGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local

এটি কাজ করে, তবে আমি যা ব্যবহার করতে চাইছি তাতে সমস্ত ব্যবহারকারীকে রেখেছি MySpecificGroup। তবে এলডিএপি সার্ভারে আমি কনফিগার করেছি যে ব্যবহারকারীর আরও একটি তালিকা সহ MySpecificGroupগ্রুপটি রয়েছে MyOtherGroup।

তবে সেই ব্যবহারকারীরা MyOtherGroupসত্যায়িত নয়, আমি তাদের হাতে ম্যানুয়ালি যোগ করেছি MySpecificGroupএবং মূলত নেস্টেড গ্রুপিং ব্যবহার করতে পারি না। আমি উইন্ডোজ এসবিএস 2003 ব্যবহার করছি।

এটি করার জন্য অ্যাপাচি এলডিএপি কনফিগার করার কোনও উপায় আছে কি? অথবা সম্ভাব্য অসীম পুনরাবৃত্তি নিয়ে কোনও সমস্যা আছে এবং এর ফলে অনুমোদিত নয়?

AuthLDAPSubGroupDepthএই কাজটি করার জন্য আপনাকে সেট করা দরকার । আপনি এখানে প্রদত্ত পূর্ণসংখ্যাটি সাব-গ্রুপ নেস্টিংয়ের সর্বোচ্চ গভীরতা নির্দিষ্ট করে যা ব্যবহারকারীর অনুসন্ধান বন্ধ হওয়ার আগে মূল্যায়ন করা হবে।

এটি আপনার কনফিগারেশনে যুক্ত করুন:

AuthLDAPSubGroupDepth 1

আরও তথ্য: এখানে এবং এখানে ।

এছাড়াও AuthLDAPSubGroupDepth, এটি কেবল অ্যাপাচি ২.৪ এ উপলব্ধ, মাইক্রোসফ্ট এডি এলডিএপি ব্যবহার করার সময়, এলডিএপি_এমএটিচিং_আরইউএল_এইচএইচ ম্যাচের নিয়ম ব্যবহার করে নেস্টেড গ্রুপগুলি ব্যবহার করে অনুমোদন করা সম্ভব। এটি ক্লায়েন্টে সাবগ্রুপগুলি অনুসন্ধান করার চেয়ে অনেক দ্রুত, কারণ এটি ডিসি সার্ভারে নেটওয়ার্কের তুলনায় কম প্রশ্নের সাথে করা হয়।

Require ldap-filter memberof:1.2.840.113556.1.4.1941:=CN=Access to Apache,OU=My Organization Unit,DC=company,DC=com

স্ট্রিংকে 1.2.840.113556.1.4.1941একটি ওআইডি বলা হয় LDAP_MATCHING_RULE_IN_CHAIN। এই ওআইডি মাইক্রোসফ্ট দ্বারা এলডিএপি প্রয়োগের (অ্যাক্টিভ ডিরেক্টরি নির্দেশের অংশ) ব্যবহারের জন্য নিয়োগ দেওয়া হয়েছে। আপনি অন্যান্য LDAP সার্ভারের সাথে এটি ব্যবহার করতে পারবেন না। মানবের পুনঃনির্মাণযোগ্য বিন্যাসটি হ'ল:iso(1).member_body(2).us(840).microsoft(113556).ad(1).as_schema(4).LDAP_MATCHING_RULE_IN_CHAIN(1941)

মাইক্রোসফ্ট ডকুমেন্টেশন থেকে:

এই নিয়মটি ফিল্টারগুলিতে সীমাবদ্ধ যা ডিএন-এর জন্য প্রযোজ্য। এটি একটি বিশেষ "বর্ধিত" ম্যাচ অপারেটর যা কোনও মিল খুঁজে না পাওয়া অবধি অবধি বস্তুগুলিতে পিতৃপুরুষের শৃঙ্খলটি অনুসরণ করে।

আরো দেখুন:

• http://msdn.microsoft.com/en-us/library/windows/desktop/aa746475%28v=vs.85%29.aspx
• http://httpd.apache.org/docs/2.2/mod/mod_authnz_ldap.html#authorphase

দেখে মনে হচ্ছে অ্যাপাচি ২.২-এ আপনার একমাত্র বিকল্পটি হ'ল প্রতিটি মূল তালিকাটি যা আপনার প্রধান অনুমোদিত গোষ্ঠী দ্বারা অন্তর্ভুক্ত রয়েছে।

Require ldap-group  CN=MySpecificGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local
Require ldap-group  CN=MyOtherGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local

আপনার নেস্টেড গ্রুপগুলি খুব জটিল না হলে এটি যুক্তিসঙ্গত হওয়া উচিত।

AD ডোমেনগুলি অতিক্রম করে (দুটি LDAP সার্ভার ব্যবহার করে)

আপনার প্রমাণীকরণের প্রক্সি দেওয়ার জন্য আপনার ওয়েব সার্ভারে চলমান slapd_meta ওভারলে দিয়ে আপনি ওপেনলডিএপ সেট করতে পারেন ।

/etc/ldap/slapd.conf এর মতো কিছু দেখতে পাওয়া উচিত:

database meta
suffix   "DC=company,DC=local"
uri      "ldap://a.foo.com/OU=MyBusiness,DC=company,DC=local"
uri      "ldap://b.foo.com/OU=otherdomainsuffix,DC=company,DC=local"

তারপরে, আপনার মোড_আউথনজ_ল্ডপ স্তম্ভটি দেখতে এর মতো দেখতে পাবেন:

AuthName            "whatever"
AuthType            Basic
AuthBasicProvider   ldap
AuthLDAPUrl         "ldapi:///DC=company,DC=local?sAMAccountName?sub?(objectClass=*)"
Require ldap-group  CN=MySpecificGroup,OU=Security Groups,OU=MyBusiness,DC=company,DC=local
Require ldap-group  CN=MyOtherGroup,OU=Security Groups,OU=otherdomainsuffix,DC=company,DC=local

এটির কাজটি পেতে এটির জন্য কিছু ম্যাসেজের প্রয়োজন হবে তবে আমি মনে করি এটি সাধারণ ধারণা।

@ মির্সিয়া_ভুটকোভিসি প্রদত্ত সমাধানটি আমার পক্ষে কাজ করার সময়, আমার একমাত্র সমালোচনা হ'ল লোকেরা যখন বিটওয়াইজ অপারেটরগুলি ব্যবহার করতে দেখবে তখন তারা বোকা হতে পারে।

উদাহরণস্বরূপ, আমি একটি অ্যাপাচি ব্লাডহাউন্ড ইনস্টলেশনটি হস্তান্তর করব, যা অ্যাডি গ্রুপ লেখার সাথে অ্যাপাচি এইচটিটিপিডি ব্যবহার করে একটি সহযোগী বিকাশকারীদের একটি গ্রুপকে end বিটওয়াইজ অপারেটরদের সাথে তাদের আঁকড়ে উঠতে সমস্যা হবে। অ্যাডমিনগুলি অবশ্যই দুর্বোধ্য হবে না ... আমি আশা করি

বলা হচ্ছে, আমার একটি সমাধান রয়েছে যা বিটওয়াইস অপারেটর ব্যবহার করে না এবং এটি একাধিক ldap-গ্রুপ সংজ্ঞা ব্যবহার করে না।

নিম্নলিখিত কনফিগারেশন আমার জন্য কাজ করে:

<Location /protected>
    # Using this to bind
    AuthLDAPURL "ldap://<MY_SERVER>:3268/<MY_SEARCH_BASE>?sAMAccountName?sub?(objectClass=user)"
    AuthLDAPBindDN "<MY_BIND_DN>"
    AuthLDAPBindPassword "<MY_PASSWORD>"
    LDAPReferrals Off

    AuthType Basic
    AuthName "USE YOUR AD ACCOUNT"
    AuthBasicProvider ldap
    Require ldap-group <MY_PARENT_GROUP>
    AuthLDAPMaxSubGroupDepth 1
    AuthLDAPSubgroupAttribute member
    AuthLDAPSubGroupClass group
    AuthLDAPGroupAttribute member
    AuthLDAPGroupAttributeIsDN on
</Location>

সমালোচনা অংশটি নিম্নলিখিত কনফিগারেশন ছিল:

AuthLDAPSubGroupClass group

AuthLDAPMaxSubGroupDepth নিজে থেকে কাজ করে না, বা যখন AuthLDAPSubgroupAtribute এর সাথে মিলিত হয়। আমি তখনই যখন অথলডিএপিএসপগ্রুপ ক্লাস ব্যবহার করেছি যে সাব গ্রুপগুলির বিরুদ্ধে লেখকরা কাজ শুরু করেছিল ... কমপক্ষে আমার এবং আমার পরিস্থিতির জন্য।