活动目录LDAP配置:
Key Value
--- -----
binddn CN=BindVault,OU=my-ou,DC=ad,DC=xyz,DC=net
case_sensitive_names true
certificate n/a
deny_null_bind true
discoverdn false
groupattr memberOf
groupdn DC=ad,DC=xyz,DC=net
groupfilter (&(objectClass=person)(sAMAccountName={{.Username}}))
insecure_tls false
starttls true
tls_max_version tls12
tls_min_version tls12
token_bound_cidrs []
token_explicit_max_ttl 0s
token_max_ttl 0s
token_no_default_policy true
token_num_uses 0
token_period 0s
token_policies []
token_ttl 0s
token_type default
upndomain n/a
url ldaps://ldaps.ad.xyz.net:636
use_pre111_group_cn_behavior true
use_token_groups true
userattr cn
userdn DC=ad,DC=xyz,DC=net
这行得通,因为当用户登录时,查询将返回该用户所属的组,并且可以将策略映射到组。
问题出在不是任何ldap策略组成员的用户。当前,这些用户可以登录,但是由于未分配任何策略而被拒绝访问所有内容。我希望他们根本无法登录。
答案 0 :(得分:0)
看起来有一个 open pull request 将为用户添加过滤器,可用于仅允许指定的 LDAP 用户访问。拉取请求已通过所有自动检查,正在等待审核,因此有望尽快添加。