Configuration Apache2 auth_kerb & authnz_ldap

Top Page

Reply to this message
Author: ymartin59
Date:  
To: ML, Guilde
Subject: Configuration Apache2 auth_kerb & authnz_ldap
Bonjour,

Je suis en train de mettre en place un nouveau serveur Subversion par Apache2/WebDAV:
- l'authentification par Kerberos/SPNEGO avec mod_auth_kerb
- le contrôle de permissions par groupe LDAP avec mod_authnz_ldap

Tout fonctionne bien.

Mes utilisateurs arrivent en Single-Sign-On avec un utilisateur "login@???"
et la configuration LDAP suivante:
AuthLDAPURL "ldap://addresseipdudc/dc=realm,dc=com?userPrincipalName?sub?(objectClass=*)"
permet de retrouver l'utilisateur et de récupérer les "memberOf".

Donc un "Require ldap-group CN=..." suffit pour donner accès ou pas à un dépôt Subversion
(en fait une branche Location dans Apache2)

Le problème est le suivant: si l'utilisateur authentifié n'est pas membre du groupe requis
pour un chemin d'accès du Apache2, le serveur répond "401" (Unauthorized) !

J'aimerai qu'il réponde "403" (Forbidden) pour éviter que le client Subversion ne fasse un prompt de
user/password alors que l'authentification Kerberos a réussi.

Est-ce un comportement configurable de "mod_authnz_ldap" ?

Merci d'avance pour votre aide

Bonnes fêtes de fin d'année
Yves Martin