Для полноты картины вы должны публиковать свои фактические директивы конфигурации mod_authz_ldap, а не только фрагменты журнала. Для меня это звучит как проблема с DNS где-то между Apache и AD, но без дополнительной информации я не могу быть уверен.
Вам следует попробовать выполнить аутентификацию вручную, используя, например, ldapsearch
на CentOS и посмотрите, сможете ли вы воспроизвести проблему на нем. Что-то вроде:
ldapsearch -xLLLZ -D sAMAccountName=myLdapUSer,dc=mycompany,dc=com -W \
-b dc=mycompany,dc=com -H ldap://10.10.10.11
Похоже на что-то не так с DNS. 30 секунд может быть таймаутом для некоторых запросов DNS на стороне сервера Apache или LDAP. Я бы перепроверил это!
Я бы проверил пакеты сеть, чтобы увидеть, где происходит задержка. Он должен показать вам, требуется ли много времени для возврата ответа DNS, или если ответ LDAP медленный, или если есть какая-то другая задержка, которую вы не ожидали, например, отсылка LDAP, как предлагает DAM.
Учитывая мой опыт работы с «LDAP» Active Directory (и я использую этот термин вольно), это может быть проблема отсылки.
По умолчанию, когда вы подключаетесь к порту 389 на Контроллере каталогов, помимо обычных ответов LDAP вы получаете от ссылки на «directory.ads.example.com». Большинство клиентов LDAP (включая Apache) следуют по направлениям, и если у вас много контроллеров домена, особенно если они географически распределены, то ваш клиент LDAP может быть отправлен в сеть. Однажды у меня был клиент LDAP в Монреале, Канада, который регулярно отправлялся в один из наших DC в Сиднее, Австралия.
Итак, вместо того, чтобы иметь что-то вроде следующего в вашей конфигурации Apache:
AuthLDAPURL ldap://mydc1.example.com/dc=example,dc=com?uid?one
который будет переходить на порт 389, всегда обязательно указывайте порт глобального каталога:
AuthLDAPURL ldap://mydc1.example.com:3268/dc=example,dc=com?uid?one
Если вам нужен SSL, то это порт 3269.