У меня проблемы с получением phpBB для аутентификации в нашей Active Directory

Question

Я почти уверен, что настройки, которые я использую, являются правильными, поэтому все возможные вещи могут быть неправильными, и я должен проверить, чтобы я мог заставить аутентификацию с нашей Active Directory работать.

Answer 1

Есть способ сделать ActiveDirectory аутентификации с phpbb3. Вы должны:

• создать учетную запись в phpBB с именем, идентичным какому-либо AD-имени
• предоставьте этой учетной записи права администратора / учредителя в phpBB
• логин с этим аккаунтом
• настроить параметры авторизации из этого аккаунта

Кстати, какие сообщения об ошибках вы получаете от phpBB?

Answer 2

Попробуйте проверить, может ли PHP подключиться к активной директории

<?php
$ds = ldap_connect('host.ad.lan', 389);
ldap_set_option($ds, LDAP_OPT_PROTOCOL_VERSION, 3);
ldap_set_option($ds, LDAP_OPT_REFERRALS, 0);
ldap_bind($ds, 'admin@ad.lan', 'xxx');
$sr = ldap_search($ds, 'CN=Cameron Zemek,OU=Users,OU=BRC,DC=ad,DC=lan', '(objectclass=*)', array('cn'));
$entryID = ldap_first_entry($ds, $sr);
$data = ldap_get_attributes($ds, $entryID);
print_r($data);
ldap_close($ds);

Что у вас есть ваши $ config ['ldap_user'] и $ config ['ldap_uid']? Вы хотите установить для $ config ['ldap_uid'] значение sAMAccountName

Answer 3

phpBB3 не предлагает много информации о том, как включить LDAPS, поэтому я надеюсь, что это кому-то поможет ...

Обратите внимание, что вам может потребоваться удалить все файлы cookie phpBB3 сразу после базовой установки. Это позволит администратору видеть ACP. Как только вы сможете последовательно войти в phpBB3 от имени администратора и захотите включить аутентификацию LDAPS, выполните следующее (протестировано с AD и растяжкой Debian):

• Получите корневой сертификат TLS у администратора AD / LDAP или получите что-то вроде:

  # openssl s_client -showcerts -connect google.com:443

См. Документацию MediaWiki, так как документы phpBB3 довольно скудны: https://www.mediawiki.org/wiki/Extension:LDAP_Authentication/Requirements

• Установите сертификат в формате PEM с именем .crt в хранилище сертификатов ОС. Для систем на основе Debian это будет /usr/local/share/ca-certificates, затем запустите # dpkg-reconfigure ca-certificates

• Настройте /etc/ldap/ldap.conf на ваши локальные настройки. Обратите внимание, что порт 3268 может не иметь встроенных ограничений, как 686 с AD. YMMV.

• Создать специального пользователя AD для привязки. Дайте ему разрешения на поиск, но не на изменение атрибутов. Убедитесь, что учетные данные работают с ldapsearch. Например: ldapsearch -x -LLL -h ad.mydomain.com -D binduser -W -z 30 -b "dc=mydomain,dc=com" searchString

• Создайте пользователя phpBB3 с тем же именем пользователя, что и у вышеуказанного пользователя AD bind. Как администратор phpBB3, предоставьте права основателя AD bind пользователю.

• Используя другой браузер, войдите в phpBB3 в качестве binduser, затем настройте аутентификацию LDAP в качестве этого пользователя. (Как отмечено в вышеприведенном посте).

• Проверьте это! Выйдите из phpBB3 и снова войдите в систему, используя учетные данные LDAP / AD.

Если это не сработает, документация по PHP-разработке довольно хорошая и предлагает множество комментариев с примерами и примерами кода, которые можно попробовать.

Answer 4

@ grom ... спасибо, но да, PHP работает просто отлично. У меня есть установка WordPress и MediaWiki на одном сервере, и они оба проходят аутентификацию на одном и том же активном каталоге.