Hallo Leute
Ich möchte die Zugriffberechtigungen auf unterschiedliche Verzeichnisse unseres Apache Server gerne via Active-Directory lösen.
Die Konfiguration dazu sieht folgendermassen aus:
<Directory "d:/htsdocs/">
Options Indexes FollowSymLinks MultiViews
Order allow,deny
Allow from all
AuthBasicProvider ldap
AuthType Basic
AuthzLDAPAuthoritative on
AuthName "asdf"
AuthLDAPBindDN "CN=Administrator,CN=Users,DC=ASDF,DC=local"
AuthLDAPBindPassword PASS
AuthLDAPURL "ldap://SRV:3268/OU=ASDF,DC=ASDF,DC=local?sAMAccountName?sub?(objectClass=*)" NONE
Require ldap-group CN=GROUP,OU=ASDF,DC=ASDF,DC=local
</Directory>
Die Sache funktioniert derzeit soweit, dass vom Besucher eine Authentifizierung verlangt wird, welche auch nur dann erfolgreich ist, wenn der eingegebene Benutzername existiert, aktiv ist und das korrekte Passwort eingegeben wurde. Soweit so gut.
Nun möchte ich jedoch mittels "require ldap-group" einschränken, dass nur diejenigen Benutzer Zugriff erhalten, welche der Gruppe "GROUP" angehören. Und genau hier liegt das Problem - egal ob ein Benutzer Mitglied der besagten Gruppe ist oder nicht; solange er einen Account auf dem AD-Server hat und das korrekte Passwort eingibt, wird ihm Zugriff gewährt.
AD ist folgendermassen konfiguriert: wir haben eine Organisationseinheit (OU=ASDF), in welcher alle Benutzer liegen. Ebenfalls liegt dort die besagte Gruppe "GROUP", welche diejenigen Mitglieder beinhaltet, welche Zugriff auf das definierte Verzeichnis haben sollen.
Was läuft hier falsch, warum lässt Apache auch diejeningen Benutzer durch, die gar nicht Mitglied der Gruppe GROUP sind resp. wie kann ich ihm das beibringen?
Besten Dank im Voraus für hilfreiche Inputs!
-gringo