mod_auth_ldap

モジュールの有効化

Apache 2系列であれば、大抵組み込まれていると思います。

LoadModule ldap_module modules/mod_ldap.so
LoadModule auth_ldap_module modules/mod_auth_ldap.so

認証設定

Active DirectoryをLDAPサーバとして使う場合の設定例をいくつか掲載します。

Active Directoryでは、標準的な構成の場合認証前に権限のあるユーザで接続をしなければいけません。 そのユーザ名とパスワードをAuthLDAPBindDN、AuthLDAPBindPasswordで指定します。

• ここではAdministratorを指定していますが、LDAPサーバとの間で認証情報が垂れ流しになりますので、お勧めしません。
• Active Directoryに接続だけできるユーザ1を用意するのがよいでしょう。おそらくAuthenticated Usersであればよいと思われますが未確認です。

基本的な設定例

<Location /ldap-status>
  SetHandler ldap-status
  AuthType Basic
  AuthName "Members Only"
  AuthLDAPEnabled on
  AuthLDAPURL "ldap://dc1/CN=Users,DC=example,DC=jp?sAMAccountName?one"
  AuthLDAPBindDN "CN=Administrator,CN=Users,DC=example,dc=jp"
  AuthLDAPBindPassword ****************
  require valid-user
</Location>

認証ダイアログに入力するユーザ名にはsAMAccountname(NetBIOSユーザ名)を使っていますが、cn等のほかの値をを使うことも可能です。

所属グループを制限する例

AuthLDAPURLのフィルタ条件を指定することで、所属グループ(memberOf)でユーザを制限することができます。

AuthLDAPURL "ldap://dc1/CN=Users,DC=example,DC=jp?sAMAccountName?one(memberOf=CN=Sales,CN=Users,DC=example,DC=jp)"

LDAPサーバの複数指定

AuthLDAPURLのldap://～/には空白で区切ってサーバを複数記述できます。

AuthLDAPURL "ldap://dc1 dc2/CN=Users,DC=example,DC=jp?sAMAccountName?one"