我正在尝试使用Kerberos身份validation和LDAP组成员身份validation来设置Apache SVN存储库,以便只有属于特定组的用户才能访问它。 自己的Kerberos身份validation工作正常,就像LDAP本身一样。 但是我想以这种方式将它们结合起来,这样我就没有纯文本凭据绑定到apacheconfiguration中的LDAP目录。 我目前的configuration(不起作用)是:
LDAPVerifyServerCert Off <Location /svn01> DAV svn SVNParentPath /var/www/svn01 AuthType Kerberos Authname "Test Repo" KrbMethodK5Passwd On KrbAuthRealms KOUKOU.LOCAL KrbSaveCredentials On KrbServiceName HTTP Krb5KeyTab /etc/httpd/conf.d/svnusr.http.keytab AuthLDAPUrl ldaps://ad01.koukou.local:636/dc=koukou,dc=local?krbPrincipalName Require ldap-group CN=admins,CN=Users,DC=koukou,DC=local </Location>
我在互联网上看到过这种configuration,但这对我不起作用。 我在浏览器中得到的是“未经授权”,并在Apache错误日志中得到:
[Thu Mar 02 09:55:21.817559 2017] [authnz_ldap:debug] [pid 10314] mod_authnz_ldap.c(838): [client 172.21.11.13:57737] AH01711: auth_ldap authorise: User DN not found, User not found
和
[Thu Mar 02 09:55:21.817605 2017] [authz_core:error] [pid 10314] [client XXX.XXX.XXX.XXX:57737] AH01631: user [email protected]: authorization failure for "/svn01/repo":
我错了吗? 即使添加一个段绑定与凭据在configuration中,我仍然得到上述错误。
Apache版本是2.4.6,Centos是7.2,Windows AD是2012R2与2008年的function级别。
在此先感谢,尼克