Справка по директиве

auth_ldap_servers

Директива `auth_ldap_servers` определяет LDAP-серверы, которые NGINX может использовать для аутентификации пользователей.

LDAP Authentication module for NGINX · httpserverlocationlimit_except
Синтаксисauth_ldap_servers server_name;
По умолчаниюnone
Контекстhttp, server, location, limit_except
Аргументыany

Описание

Директива auth_ldap_servers является частью модуля LDAP-аутентификации для NGINX, который позволяет веб‑серверу аутентифицировать пользователей с помощью одного или нескольких LDAP-серверов. Указав эту директиву в контекстах server, location или http, администратор может настроить NGINX на обращение к внешним LDAP‑серверам для проверки учётных данных пользователей. Каждый сервер может быть описан с конкретными параметрами подключения, такими как URL, bind DN и другие критерии аутентификации.

Можно определить несколько блоков LDAP-серверов; они должны предшествовать директиве ldap_server, которая задаёт параметры подключения и требования для аутентификации пользователей. Затем необходимо установить директиву auth_ldap, чтобы включить аутентификацию и задать сообщение realm, отображаемое пользователям. Директива поддерживает различные аргументы, включая настройки того, требовать ли валидных пользователей, определять атрибуты групп или управлять стратегиями повторных попыток подключения и прочие параметры.

Важный аспект при внедрении auth_ldap_servers — убедиться, что все указанные серверы доступны и правильно настроены в соответствии с политиками сети и безопасности. Это может включать управление проверкой SSL‑сертификатов для защищённых подключений к LDAP‑серверам.

Пример конфига

http {
    ldap_server test1 {
        url ldap://192.168.0.1:3268/DC=test,DC=local?sAMAccountName?sub?(objectClass=person);
        binddn "TEST\\LDAPUSER";
        binddn_passwd LDAPPASSWORD;
        group_attribute uniquemember;
        group_attribute_is_dn on;
        require valid_user;
    }

    server {
        listen 8000;
        server_name localhost;

        auth_ldap "Forbidden";
        auth_ldap_servers test1;

        location / {
            root html;
            index index.html index.htm;
        }
    }
}

Убедитесь, что адреса серверов доступны с хоста NGINX.

Некорректные LDAP URLs приведут к проблемам с подключением; проверьте их перед использованием.

Неправильно настроенные binddn или binddn_passwd могут помешать успешной аутентификации.

Связанные директивы

ldap_serverauth_ldap
← Ко всем директивам