Народ, а нет у кого поделиться гарантированно работающим конфигом для прозрачной авторизации через kerberos в apache 2.4 для нескольких доменов ad с проверкой пользователей по группам из ldap?

Только доброходов прошу не бросаться в гугл. У меня уже по всем возможным запросам на 10 страниц все ссылки фиолетовые. Они все или не правильные или не точные и будут работать только в отдельных случаях. И т.д. Не нужно.

Я почти прошёл этот квест. Затык в общем на определении строк подключения к ldap для проверки соответсвия пользователя группе.

Пока я пишу всё внутри Location или Directory - всё замечательно. Но так можно описать только один домен. Когда я выношу описания в

<AuthnProviderAlias ldap ldap-server1>

и пишу

AuthBasicProvider ldap-server1

как всё кончается. В логе видно, что пользователь авторизирован, его логин сконвертирован в локальный, но запроса в ldap нет. Сразу проверка Require ldap-group, она проваливается и прощай мама дорогая, HTTP/401.

Причём, если написать AuthBasicProvider blah-blah-blah, то апач не стартует. Т.е. он проверяет корректность, но внутрь блока при работе не заходит.

В гугле упоминается, что это баг «гениального» рефакторинга 2.2 -> 2.4. Который вроде пофиксили. Обновил apache из стороннего репозитория до 2.4.25 - нет эффекта. Ещё пишут, что не работать внутри VirtualHost, но я не в нём тестирую...

Может кто прошёл это квест уже до конца и поделится конфигом?