Apache：实现黑名单/白名单访问控制 + LDAP 身份验证

Question

在 Apache 中，仅向通过以下两项测试的用户授予访问权限的最佳方法是：

1. 用户未出现在黑名单中（或者，出现在白名单中）
2. 用户拥有有效的 LDAP 用户帐户

我已经进行了第二个测试，但我现在需要禁止一些有效的 LDAP 用户。请注意，我无法创建一个 AD 组来代表我的黑/白名单。

Answer 1

我已经设法使用

• mod_auth_ldap 验证有效用户
• mod_authz_host 将 IP 范围列入黑名单

然后配置看起来像：

    <Location /blacklisted >
        AuthType Basic
        AuthName "PAM"

        AuthBasicProvider ldap
        Require valid-user
        AuthLDAPURL ldap://ldap.example.com/?sAMAccountName?sub
        AuthzLDAPAuthoritative off
        AuthLDAPBindDN bindUser@example.com
        AuthLDAPBindPassword verySecurePasswd

        Order allow,deny
        Deny from 192.168.1
        Allow from all
    </Location>

但是，如果我想将 LDAP 用户名而不是 IP 地址列入黑名单，我仍然不知道这是否可行。 （Covener 似乎暗示一些复杂的配置可以做到这一点，但我还没有尝试过）。