LDAP-Untergruppen unter Apache

Linux
Binary

Heute wollte ich endlich einmal die Berechtigungen in unserem Nagios-Webinterface in Ordnung bringen und bin einmal wieder über ein Problem gestolpert, von dem ich nicht dachte, dass ich mir hier überhaupt noch Gedanken machen muss. Das Apache-Modul »mod_authnz_ldap« unterstützt doch aber tatsächlich keine Abfrage von Untergruppen im LDAP (Im Fachjargon auch »subgroups« oder »nested groups« genannt). Untergruppen, also eine Gruppe innerhalb einer Gruppe um den Administrationsaufwand beim Zuordnen von Benutzerrechten möglichst gering zu halten.

Im aktuellen Entwicklerzweig bzw. in der zukünftigen Apache-Version (wohl aber erst in Apache 2.3?) scheint es hier über die Option »authldapmaxsubgroupdepth« aber endlich eine Möglichkeit zu geben, wie die Dokumentation zeigt. Ich hab meine Gruppenstruktur in diesem speziellen Fall jetzt erst einmal flach aufgebaut und werde die Option vielleicht später einmal testen. Sollte hier schon jemand Erfahrungen gemacht haben, bin ich über jeden kurzen Kommentar dankbar.

3 Comments to LDAP-Untergruppen unter Apache

  1. Mahlzeit,

    merkwürdig, dass das noch niemanden gestört hat, denn selbst wenn man nach „apache ldap subgroups“ googlet, bekommt man direkt als drittes Ergebnis deinen Eintrag hier.

    j-zero

  2. Ja, das ist mir auf meiner Suche auch aufgefallen, es scheinen in der Tat nicht viele Leute mit nested Groups zu arbeiten. Oder die großen Unternehmen, die solch große Verzeichnisse besitzen, lassen hier drumherum programmieren.

    Naja die Lösung ist ja quasi vorhanden, auch wenn der 2.3er noch nicht stable ist.

  3. Heureka…
    ich such auch schon etwas länger nach einer Möglichkeit nested Groups zu verwenden.
    Habe kurz darüber nachgedacht mit Oveerlays im LDAP zu arbeiten. hab’s bisher nur mal angelesen wäre aber eine Möglichkeit:
    Quasi dynamische Gruppen im LDAP. Vielleicht kann man dann die user aus den Subgruppen selektieren und in eine „flache“ Form bringen.

    In der tat muss ich euch recht geben, auch ich bin verwundert, daß bisher so wenige diese Funktion verwenden.

    Gruß
    Markus

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.