Unterschied zwischen mod_auth_ldap und mod_authnz_ldap

Wir verwenden LDAP für den Subversion-Zugriff über den Apache httpd. Wir hatten ursprünglich alle unsere Subversion-repositories zugänglich von allen Benutzern mit den folgenden:

<Location /src>
    DAV svn
    SVNParentPath /opt/svn_repos
    AuthType basic
    AuthName "SVN Repository"
    AuthBasicProvider ldap
    AuthzLDAPAuthoritative off
    AuthLDAPURL "ldap://ldap.mycorp.com:3268/dc=mycorp,dc=com?sAMAccountName" NONE
    AuthLDAPBindDN "CN=svn_acct,OU=Users,DC=mycorp,DC=com"
    AuthLDAPBindPassword "swordfish"
    Require valid-user
</Location>

Alles war in Ordnung. Ich wurde gebeten, zu bewegen das CM-repository an einen anderen Ort, und machen es zugänglich nur für Leute in der CM-Gruppe. Ich habe die folgenden:

<Location /cm>
    DAV svn
    SVNPath /opt/cm_svn_repos
    AuthType basic
    AuthName "CM Repository"
    AuthBasicProvider ldap
    AuthzLDAPAuthoritative off
    AuthLDAPURL "ldap://ldap.mycorp.com:3268/dc=mycorp,dc=com?sAMAccountName" NONE
    AuthLDAPBindDN "CN=svn_acct,OU=Users,DC=mycorp,DC=com"
    AuthLDAPBindPassword "swordfish"
    Require group CN=cm-group,OU=Groups,DC=mycorp,DC=com
</Location>

Verbrachte ich ein paar Stunden auf das vor zu realisieren, dass ich war mit mod_authnz_ldap und nicht plain ol' mod_auth_ldap. Also brauchte ich ldap-group statt group in meinem Require - Anweisung. Das hat geklappt.

Mein Kollege teilte mir mit, dass es einen Grund, warum wir verwendet, mod_authnz_ldap und nicht mod_auth_ldap, aber er konnte sich nicht erinnern, warum. Wir suchten das Apache-httpd-Dokumentation, sondern die Dokumentation enthält keine Hinweise, warum Sie verwenden würden, einen über den anderen.

Also, was ist der Unterschied zwischen mod_auth_ldap und mod_authnz_ldap, und warum würden Sie einen über den anderen?

InformationsquelleAutor der Frage David W. | 2011-08-23

  1. 26

    Jemand anderes, kam in dieser Frage. Es hat zu tun mit den neueren Versionen von Apache httpd. Meine Verwirrung resultierte aus den Veränderungen zwischen version 2.1 und 2.2 des httpd. Da hatte ich Apache 2.2, ich war wohl zu nutzen, der neue Rahmen:

    • mod_auth_ldap ist für Apache-Versionen vor 2.2
    • mod_authnz_ldap ist für Apache-Versionen 2.2 und höher.

    Aus der Apache 2.2 Manuelle

    Modul-Erweiterungen

    Authn/Authz

    Module, die in den aaa-Verzeichnis umbenannt worden und bieten eine bessere Unterstützung für digest-Authentifizierung. Zum Beispiel mod_auth ist nun aufgeteilt in mod_auth_basic und mod_authn_file; mod_auth_dbm heißt jetzt mod_authn_dbm; mod_access umbenannt wurde mod_authz_host. Es gibt auch eine neue mod_authn_alias (bereits entfernt von 2.3/2.4) Modul für die Vereinfachung bestimmter Authentifizierung Konfigurationen.

    mod_authnz_ldap

    Dieses Modul ist eine Portierung des 2.0 des Modul mod_auth_ldap der 2.2 Authn/Authz-framework. Neue Funktionen umfassen die Verwendung von LDAP-Attribut-Werte und die komplizierte Suche nach Filter in der Richtlinie Erfordern.

    Modul-Entwickler Änderungen

    Authn/Authz

    Den gebündelten Authentifizierungs-und Autorisierungs-Module wurden umbenannt, entlang der folgenden Zeilen:

    • mod_auth_* -> Module, die die Implementierung einer HTTP-Authentifizierung-Mechanismus
    • mod_authn_* -> Module, die einen backend-authentication-provider
    • mod_authz_* -> Module, die zur Umsetzung von Autorisierungs - (oder access)
    • mod_authnz_* -> Modul implementiert, dass beide authentication & Autorisation

    InformationsquelleAutor der Antwort David W.

Schreibe einen Kommentar