Apache：实施黑名单/白名单访问控制 + LDAP认证

发布于 2024-10-11 00:54:52 字数 217 浏览 5 评论 0原文

在 Apache 中，仅向通过以下两项测试的用户授予访问权限的最佳方法是什么：

用户未出现在黑名单中（或者出现在白名单中）
拥有有效的 LDAP 用户帐户

用户已已完成第二个测试，但我现在需要禁止一些有效的 LDAP 用户。请注意，我无法创建 AD 组来代表我的黑/白名单。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

久隐师 2024-10-18 00:54:52

我已经设法使用

mod_auth_ldap 来验证有效用户
mod_authz_host 将 IP 范围列入黑名单

配置看起来像这样：

    <Location /blacklisted >
        AuthType Basic
        AuthName "PAM"

        AuthBasicProvider ldap
        Require valid-user
        AuthLDAPURL ldap://ldap.example.com/?sAMAccountName?sub
        AuthzLDAPAuthoritative off
        AuthLDAPBindDN [email protected]
        AuthLDAPBindPassword verySecurePasswd

        Order allow,deny
        Deny from 192.168.1
        Allow from all
    </Location>

然而，我仍然不知道如果我想将 LDAP 用户名而不是 IP 地址列入黑名单是否可行。（Covener似乎建议一些复杂的配置可以做到可以，但我没试过）。

I have managed to do that using

mod_auth_ldap to authenticate valid users
mod_authz_host to blacklist IP ranges

The config then looks something like:

    <Location /blacklisted >
        AuthType Basic
        AuthName "PAM"

        AuthBasicProvider ldap
        Require valid-user
        AuthLDAPURL ldap://ldap.example.com/?sAMAccountName?sub
        AuthzLDAPAuthoritative off
        AuthLDAPBindDN [email protected]
        AuthLDAPBindPassword verySecurePasswd

        Order allow,deny
        Deny from 192.168.1
        Allow from all
    </Location>

However, I still don't know whether that would be feasible if I wanted to blacklist LDAP usernames instead of IP addresses. (Covener seems to suggest some complex config could do it but I haven't tried it).

回复收藏 0 原文

~没有更多了~