Je suis en train de mettre en place un nouveau serveur Subversion par Apache2/WebDAV:
- l'authentification par Kerberos/SPNEGO avec mod_auth_kerb
- le contrôle de permissions par groupe LDAP avec mod_authnz_ldap
Tout fonctionne bien.
Mes utilisateurs arrivent en Single-Sign-On avec un utilisateur "login@???"
et la configuration LDAP suivante:
AuthLDAPURL "ldap://addresseipdudc/dc=realm,dc=com?userPrincipalName?sub?(objectClass=*)"
permet de retrouver l'utilisateur et de récupérer les "memberOf".
Donc un "Require ldap-group CN=..." suffit pour donner accès ou pas à un dépôt Subversion
(en fait une branche Location dans Apache2)
Le problème est le suivant: si l'utilisateur authentifié n'est pas membre du groupe requis
pour un chemin d'accès du Apache2, le serveur répond "401" (Unauthorized) !
J'aimerai qu'il réponde "403" (Forbidden) pour éviter que le client Subversion ne fasse un prompt de
user/password alors que l'authentification Kerberos a réussi.
Est-ce un comportement configurable de "mod_authnz_ldap" ?
