apache - 限制通过 mod_authz_svn 和 LDAP 对 Redhat IDM 服务器的 subversion 访问

Question

我正在尝试使用 authz_svn_module 模块通过 Apache 配置对 subversion 的访问。ldap 用户的访问权限是相当开始的，但是当我尝试将其限制为某个组中的有效用户时，我的授权被拒绝。查看页面底部的日志。

我已经包含了，我相信，与下面的 subversion.conf 配置类似的 ldapsearch 查询。但是我一直失败。

我不知道日志试图告诉我什么。

我正在尝试限制对 adm-group 中用户的访问

红帽 7.9 - 红帽 IDM/FreeIPA

CentOS 6.10

• 阿帕奇 2.2
• mod_dav_svn-1.7.4-0.1.el6.rfx.x86_64
• 颠覆-1.7.4-0.1.el6.rfx.x86_64

ldapsearch -y /home/jdoe/.roapass -LLL -h myldap.abc.net -D "uid=read-only-acct,cn=users,cn=accounts,dc=abc,dc=net" -b cn=users,cn=accounts,dc=abc,dc=net uid=jdoe|grep "adm-group\|cn:\|displayName:\|uidNumber:\|uid\|gecos"

dn: uid=jdoe,cn=users,cn=accounts,dc=abc,dc=net
memberOf: cn=adm-group,cn=groups,cn=accounts,dc=abc,dc=net
displayName: John Doe
cn: John Doe
uidNumber: 2000nnnn
gecos: John Doe
uid: jdoe

摘自我的 subversion.conf 文件

LoadModule dav_svn_module     modules/mod_dav_svn.so
LoadModule authz_svn_module   modules/mod_authz_svn.so

...

Require valid-user
Require lAuthLDAPBindPassword <mypasswd here>
Require AuthLDAPBindDN uid=read-only-acct,cn=users,cn=accounts,dc=abc,dc=net

AuthLDAPURL "ldaps://myldap.abc.net/CN=users,CN=accounts,DC=abc,DC=net?uid"
AuthLDAPGroupAttribute     memberOf
Require ldap-group cn=adm-group,cn=groups,cn=accounts,dc=abc,dc=net

...

日志文件条目

 [debug] mod_authnz_ldap.c(432): [client 192.n.n.n] [11029] auth_ldap authenticate: using URL ldaps://myldap.abc.net/CN=users,CN=accounts,DC=abc,DC=net?uid

 [debug] mod_authnz_ldap.c(516): [client 192.n.n.n] [11029] auth_ldap authenticate: accepting jdoe

 [debug] mod_authnz_ldap.c(860): [client 192.n.n.n] [11029] auth_ldap authorise: require group: testing for group membership in "cn=adm-group,cn=groups,cn=accounts,dc=abc,dc=net"

 [debug] mod_authnz_ldap.c(866): [client 192.n.n.n] [11029] auth_ldap authorise: require group: testing for memberOf: uid=jdoe,cn=users,cn=accounts,dc=abc,dc=net (cn=adm-group,cn=groups,cn=accounts,dc=abc,dc=net)

 [debug] mod_authnz_ldap.c(883): [client 192.n.n.n] [11029] auth_ldap authorise: require group "cn=adm-group,cn=groups,cn=accounts,dc=abc,dc=net": authorisation failed [Comparison complete][Insufficient access]

 [debug] mod_authnz_ldap.c(1023): [client 192.n.n.n] [11029] auth_ldap authorise: authorisation denied