Samba4.2をLDAPバックエンドにしたとき、許可グループとしてLDAPグループを指定してもアクセスが許可されない。 グループにログインユーザーが含まれていないような動作になる。official:質問箱5/248
official:PukiWiki/Authentication/LDAP
Samba 4.2 のバグなので、Samba 4.4以降へのバージョンアップを推奨します。 Sambaをバージョンアップできない場合は、以下の情報に沿ってPukiWikiのカスタマイズを行うことで、グループの認証を使うことができます。(但し、制約としてネストしたグループの利用はできなくなります)
ActiveDirectory由来のLDAPの場合、LDAP_MATCHING_RULE_IN_CHAINを使ってグループのネストに対応しています。 msdn.microsoft.com/en-us/library/aa746475(v=vs.85).aspx
調べたところ、Samba 4.2 ではこのLDAP_MATCHING_RULE_IN_CHAINは動作しないようでした。bugzilla.samba.org/show_bug.cgi?id=10493 Samba 4.4以降でのサポートになっています。
以下のようにPukiWikiの実装を変更すると、LDAP_MATCHING_RULE_IN_CHAINを使わなくなるので Samba 4.2でも動作します ($fmtを上書き) -- umorigu 2016-12-15 (木) 01:57:00
diff --git a/lib/auth.php b/lib/auth.php index 271da4c..1c6811c 100644 --- a/lib/auth.php +++ b/lib/auth.php @@ -673,6 +673,7 @@ function get_ldap_groups_with_user($ldapconn, $user, $is_ad) { if ($is_ad) { // LDAP_MATCHING_RULE_IN_CHAIN: Active Directory specific rule $fmt = '(&(sAMAccountName=%s)(memberOf:1.2.840.113556.1.4.1941:=%s))'; + $fmt = '(&(sAMAccountName=%s)(memberOf=%s))'; } $user_gfilter = sprintf($fmt, pkwk_ldap_escape_filter($user),
(場合によっては $ldap_base_dn を変更する必要がある)
変更前 $ldap_base_dn = 'ou=Users,dc=example,dc=local'; 変更後 $ldap_base_dn = 'dc=example,dc=local';