Active Directory LDAPS включен через самозаверяющий сертификат.Но клиент PHP не проходит аутентификацию на сервере AD - PullRequest
1 голос
/ 11 апреля 2019

Я настроил Active Directory с ldaps с самозаверяющим сертификатом, созданным через роль AD CS. Я настроил это с помощью этой статьи. Я хочу подключить php-приложение на машине linux для подключения к AD Directory через LDAPS

https://www.trustzone.com/microsoft-ad-ldap-2012/

Итак, после этого я проверил соединение с помощью инструмента ldp.exe на компьютере с Windows Server 2012. Это дает подтверждение того, что соединение установлено. Поэтому я создал пользователей в AD, чтобы получить аутентификацию для одного из моих php-приложений на компьютере с Linux. Поэтому, когда я пытаюсь общаться через LDAP, это работает. Но когда я попытался соединиться через LDAPS, это терпит неудачу. Я дал IP-адрес и имя хоста для аутентификации со стороны клиента.

Как я уже говорил ранее, я попытался соединиться с LDAP и преуспел. Но это не было ошибкой, но слишком долго для аутентификации, когда я предоставлял имя хоста; но когда я дал IP, это удалось. Но когда дело доходит до LDAPS, оба сценария провалились. Я создал сертификат для имени хоста по ссылке выше. Я также добавил имя хоста на клиентском компьютере в файл / etc / hosts.

Это связано с тем, что самозаверяющий сертификат выдан ?? Я действительно новичок в Active Directory.

Я ожидаю аутентификации через LDAPS, а также через LDAP. Но для LDAPS это не проходит проверку подлинности. Что я пропускаю или неправильно настраиваю.

1 Ответ

0 голосов
/ 12 апреля 2019

Да, это скорее всего сертификат. Для одного вы должны использовать доменное имя, которому назначен сертификат - вы не можете подключиться, используя IP.

Но тогда клиентский компьютер должен доверять сертификату для работы соединения.

Для тестирования вы можете просто сказать ему, чтобы он даже не проверял сертификат, поместив его в файл ldap.conf (вероятно, в /etc/ldap/ldap.conf):

TLS_REQCERT never

При этом он все равно будет использовать сертификат для шифрования, но не будет ничего проверять о сертификате.

Но для чего-либо, кроме тестирования, вы должны убедиться, что сертификату доверяют должным образом, так как часть работы сертификата заключается в проверке того, что вы говорите с правильным сервером. Здесь есть несколько инструкций (сначала нужно экспортировать сертификат в файл): https://www.novell.com/coolsolutions/tip/5838.html

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...