Apache HTTP Server 常用模块之 mod_authnz_ldap

mod_authnz_ldap 模块使用 LDAP 作为验证源来验证用户信息的模块。 用户完成登录后，以后浏览器的所有请求，都会在请求头信息中增加一个Authorization的属性，值为Basic avbhfavjasv==。其中Basic是认证的方式，如果

配置验证器

参考：mod_authn_core

在 conf/httpd.conf 底部增加以下配置：

<AuthnProviderAlias ldap ldap-local>
    #由于我们支持匿名登录，所以无需绑定管理员帐号
    AuthLDAPURL "ldap://127.0.0.1/ou=users,dc=company,dc=com,dc=cn?uid"
    LDAPReferrals Off
    #2.2版本设置下这个，使得可以 LDAP 认证认证失败交给其它认证
    #AuthzLDAPAuthoritative on
</AuthnProviderAlias>

配置目录的认证方式

我们应该在跟目录配置统一的验证器，而不是单独的目录配置。这样才能保证不同的目录下切换不会要求再次认证。

在 conf/httpd.conf 底部增加以下配置：

<Location />
    #使用之前的验证器，验证器放在根目录配置，这样子路径能共享到验证信息
    AuthBasicProvider ldap-local
    AuthType Basic
    #认证的提示信息
    AuthName "LDAP Authorization"

    Order allow,deny
    #拒绝所有访问
    Deny from all
    #允许本级直接访问
    Allow from 127.0.0.1/255.0.0.0

    #根目录需要认证用户
    require valid-user
    Satisfy any
</Location>


#首页只允许 programmer,group_leader,manager 分组的用户才能访问
<Location /index.html>
    require ldap-group cn=programmer,ou=dev,ou=roles,dc=company,dc=com,dc=cn
    require ldap-group cn=group_leader,ou=dev,ou=roles,dc=company,dc=com,dc=cn
    require ldap-group cn=manager,ou=dev,ou=roles,dc=company,dc=com,dc=cn
</Location>

#phpldapadmin 只允许 manager 分组访问
<Location ~ "^/(phpldapadmin)">
    Deny from all
    require ldap-group cn=manager,ou=dev,ou=roles,dc=company,dc=com,dc=cn
</Location>


#vbap|market|dataplatform|sso|ftp 不需要认证，可以直接访问
<Location ~ "^/(vbap|market|dataplatform|sso|ftp)">
    Allow from all
</Location>