LDAP 与各系统的集成

 

PAM 模块的LDAP 配置

使用 PAM 进行验证的系统有：

• Linux 系统登录：etc/pam.d/system.auth
• SSH
• vsFTP

PAM 的 LDAP 配置文件为：

• /etc/nsswitch.conf
• /etc/ldap.conf

PAM 的交互配置命令为 authconfig-tui

 

Subversion (Apache) 的 LDAP 配置

与 Apache 2.0 相比，Apache 2.2 改进了认证和授权模块的管理模式，LDAP 支持的配置也略有不同：

• Apache 2.0 使用的LDAP认证模块是：mod_auth_ldap.so
• Apache 2.2 使用的LDAP认证模块是：mod_authnz_ldap.so

需要的Apache模块：

• mod_ldap ：是httpd和LDAP进行交互所以需要的库
• mod_authnz_ldap ：是控制LDAP认证和授权的模块，它依赖mod_ldap。之所以叫authnz是因为这个模块同时实现了authentication和authorization
• mod_dav_svn ：是httpd用来操作svn repository的模块

一些注意事项：

• AuthLDAPBindDN和AuthLDAPBindPassword一般不用设置，前提是LDAP目录允许匿名认证（在slapd.conf中配置的访问控制）
• AuthLDAPURL 中的sAMAccountName是Windows活动目录专有的。如果是OpenLDAP，请改为用户名的属性，如 uid
• AuthLDAPURL 中可以设置LDAP的类过滤器，以提高查询效率。如：objectClass=posixAccount
• Subversion 的认证体系不支持LDAP的组，只支持LDAP的用户。就是说，在配置Subversion 版本库的访问控制策略时，要另外设置一套独立于LDAP的组定义，这会造成数据的不同步。可喜的是，网上已经有牛人写了实用的组同步Python脚本，请参考：Using LDAP Groups With Subversion's Authz File
• AuthzSVNAccessFile 指示了SVN访问控制的文件。如果该文件有语法问题，整个文件将被SVN忽略，效果等同于没有访问控制文件，此时将出现认证失败的状况。配置该文件时，建议按由少至多调试，还要一次把所有的写上。
• SVN的Location可配置在根目录，即，但应把它放在里面，成为虚拟主机。此时访问地址形如 http://svn.xxx.com，没有其它目录了。

详情请参考：

• 《在Apache上，通过LDAP对SVN访问的authentication和authorization》
• 《Subversion结合Apache与LDAP》（英文链接：Subversion with Apache and LDAP: Updated ）