Samba4.2で認証時LDAPグループが機能しない

メッセージ

Samba4.2をLDAPバックエンドにしたとき、許可グループとしてLDAPグループを指定してもアクセスが許可されない。 グループにログインユーザーが含まれていないような動作になる。official:質問箱5/248

official:PukiWiki/Authentication/LDAP

調査・対応

official:質問箱5/248 より:

Samba 4.2 のバグなので、Samba 4.4以降へのバージョンアップを推奨します。 Sambaをバージョンアップできない場合は、以下の情報に沿ってPukiWikiのカスタマイズを行うことで、グループの認証を使うことができます。(但し、制約としてネストしたグループの利用はできなくなります)

ActiveDirectory由来のLDAPの場合、LDAP_MATCHING_RULE_IN_CHAINを使ってグループのネストに対応しています。 msdn.microsoft.com/en-us/library/aa746475(v=vs.85).aspx

調べたところ、Samba 4.2 ではこのLDAP_MATCHING_RULE_IN_CHAINは動作しないようでした。bugzilla.samba.org/show_bug.cgi?id=10493 Samba 4.4以降でのサポートになっています。

以下のようにPukiWikiの実装を変更すると、LDAP_MATCHING_RULE_IN_CHAINを使わなくなるので Samba 4.2でも動作します ($fmtを上書き) -- umorigu 2016-12-15 (木) 01:57:00

diff --git a/lib/auth.php b/lib/auth.php
index 271da4c..1c6811c 100644
--- a/lib/auth.php
+++ b/lib/auth.php
@@ -673,6 +673,7 @@ function get_ldap_groups_with_user($ldapconn, $user, $is_ad) {
    if ($is_ad) {
      // LDAP_MATCHING_RULE_IN_CHAIN: Active Directory specific rule
       $fmt = '(&(sAMAccountName=%s)(memberOf:1.2.840.113556.1.4.1941:=%s))';
+      $fmt = '(&(sAMAccountName=%s)(memberOf=%s))';
    }
    $user_gfilter = sprintf($fmt,
      pkwk_ldap_escape_filter($user),

(場合によっては $ldap_base_dn を変更する必要がある)

変更前
 $ldap_base_dn = 'ou=Users,dc=example,dc=local';
変更後
 $ldap_base_dn = 'dc=example,dc=local';

トップ   編集 凍結 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2017-10-25 (水) 22:31:50
Site admin: PukiWiki Development Team

PukiWiki 1.5.4+ © 2001-2022 PukiWiki Development Team. Powered by PHP 8.2.12. HTML convert time: 0.265 sec.

SourceForge