конфигурация Active Directory LDAP:
Key Value
--- -----
binddn CN=BindVault,OU=my-ou,DC=ad,DC=xyz,DC=net
case_sensitive_names true
certificate n/a
deny_null_bind true
discoverdn false
groupattr memberOf
groupdn DC=ad,DC=xyz,DC=net
groupfilter (&(objectClass=person)(sAMAccountName={{.Username}}))
insecure_tls false
starttls true
tls_max_version tls12
tls_min_version tls12
token_bound_cidrs []
token_explicit_max_ttl 0s
token_max_ttl 0s
token_no_default_policy true
token_num_uses 0
token_period 0s
token_policies []
token_ttl 0s
token_type default
upndomain n/a
url ldaps://ldaps.ad.xyz.net:636
use_pre111_group_cn_behavior true
use_token_groups true
userattr cn
userdn DC=ad,DC=xyz,DC=net
Это работает нормально, поскольку когда пользователь входит в систему, запрос возвращает группы, членом которых является пользователь, и политики могут быть сопоставлены группам.
Проблема заключается в пользователях, которые не являются членами какой-либо группы политик ldap. В настоящее время эти пользователи могут войти в систему, но не имеют доступа ко всему, потому что им не назначены никакие политики. Я бы предпочел, чтобы они вообще не могли войти в систему.