Mit Apache 2.2 an einem Windows ADC authentifizieren

Zentrale Accountverwaltung (oder in Managerdeutsch: Single Signon) ist etwas schönes! Der IT-Support kann sich darum kümmern, spontan Änderungen vornehmen und die Websiteverantwortlichen müssen nicht mehr rennen und vergessene Passworte zurücksetzen. Viele Zentrale Verzeichnisse laufen unter Windows mittels ADCs (Active Directory Connector). Der ist so nett und stellt seine Dienste auch als LDAP (Lightweight Directory Access Protocol) zur Verfügung. Der Apache kann darüber (auch unter Linux) authentifizieren mit Basic Authentication, also mit dem Passwortfenster aber ohne PHP und PERL und so…

Benötigt wird das Modul authnz-ldap. Unter Debian kann das eingeschaltet werden mittels:

a2enmod

In einer .htaccess Datei oder in der Site-Konfiguration kann man nun sehr gezielt für Verzeichnisse oder URLs die Authentifizierung einschalten. Hier ein Beispiel:

<location /admin>
                AuthName "LDAP-Authentifizierter Bereich"
                AuthType Basic
                AuthBasicProvider ldap
                AuthLDAPBindDN ldapreader@aden.local
                AuthLDAPBindPassword secretpassword
                AuthLDAPUrl ldap://adc1.aden.local/ou=Accounts,dc=aden,dc=local?sAMAccountName?sub
                AuthzLDAPAuthoritative on
                require ldap-group CN=Angestellte,OU=Berechtigungsgruppen,OU=Gruppen,DC=domain,DC=local
</location>
ldapreader@aden.local:
Ist ein Benutzer mit Leserechten aus der Domäne domain.local
secretpassword:
Ist das Passwort dieses Benutzers.
require:
Gibt an, wer Zugriff hat. ldap-group authentifiziert ganze Gruppen. Es gibt aber auch noch andere Direktiven.

Das Ganze funktioniert natürlich auch für SVN und Websvn Zugriffe über das Web!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.