LDAP авторизация

[inry_r]

Сконфигурировал аутентификацию по LDAP. Вопросы в следующем: 

1. Как правильно настроить авторизацию? LDAP_inject - хак, хотя и работает. Как сделать это цивильно, чтобы входить могли только определённые пользователи?
2. Несмотря на успешную аутентификацию, в лог пишется дамп. Похоже, что-то зависает. Без фильтра дамп тоже пишется, так что это не от

Comments

[merkwurdig]

строка

search-filter user-object-type user)(memberof=cn=internet,cn=users,dc=bsu

вызывает сомнения. скобки и амперсанд куда-то делись?

обычным ldap-клиентом (не циской) попробуйте для начала.

[inry_r]

Конечно попробовал. Это же известный хакерский трюк.
show ldap server summary

Дело в том, что разработчики перемудрили с конфигом. Поиск идёт по фильтру
&(=%login)(objecttype=), где

- то, что соответствует атрибуту username в attribute_map (по умолчанию CN)
- то, что написано в searchfilter. При этом доступна только опция user-object-type и никакая другая.

Вот и пришлось извращаться. debug показывает, что фильтр формируется правильно. А вот как работает логика авторизации, я так и не понял. Кажется, сначала запрашивается список пользователей первой группы, к которой относится данный пользователь. А потом всё зависает.

[merkwurdig]

дебуг включали? на той и другой стороне посмотрите.

[inry_r]

для профессиональных танкистов, читающих только первую строку:
>> debug показывает, что фильтр формируется правильно. А вот как работает логика авторизации, я так и не понял.

Кто-нибудь, ввобще, пробовал LDAP прикручивать?