mod_authnz_ldap或多个LDAP组

时间:2017-03-31 16:04:37

标签: ldap

我正在使用Apache 2.4和模块mod_authnz_ldap向组中的用户授予或授权某些页面。 这是我目前的配置。这很好用:

    AuthLDAPUrl "ldap://myldapserver.com:389/dc=example, dc=com?uid"
    AuthLDAPBindAuthoritative on
    AuthLDAPGroupAttribute memberUid
    AuthLDAPGroupAttributeIsDN off

    <RequireAll>

       Require ldap-group cn=mygroup,ou=group,dc=example,dc=com

    </RequireAll>

我的问题是:

可以授权多个群组吗?这意味着要对这些组进行OR并对其中任何一个进行授权。

我试图在 RequireAll 中插入 SatisfyAny 指令,但我无法使其正常工作。

提前多多感谢。

干杯,

2 个答案:

答案 0 :(得分:1)

为什么不将RequireAll指令替换为RequireAny?

<RequireAny>
  Require ldap-group A
  Require ldap-group B
  Require ldap-group C
</RequireAny>

答案 1 :(得分:0)

Require ldap-filter可以与任何有效的LDAP过滤器一起使用。如下所示:

Require ldap-filter (&(memberOf='cn=mygroup,ou=group,dc=example,dc=com')(cn=mygroup33,ou=group,dc=example,dc=com))

应该有效。当然假设您的LDAP实现中存在memberOf。

相关问题
最新问题