Проверка работы LDAP через скрипт
Поместите файл testldap.php в папку /var/www/public
Убедитесь, что владельцем файла скрипта является www-data:
При необходимости выполните следующие команды:
Откройте файл testldap.php текстовым редактором.
Измените значение параметра «$ldaphost» на адрес вашего ldap-сервера.
Пример:
Укажите логин (для параметра $User) и пароль (для параметра $ldappass) AD-пользователя.
Пример:
Сохраните изменения в файле.
Работу скрипта необходимо проверить двумя способами: через PHP-cli и через PHP модуль веб-сервера. Результаты работы скрипта могут отличаться друг от друга, так как скрипт запущенный через PHP-cli выполняется от имени текущего пользователя, а в случае выполнения скрипта через модуль веб-сервера, скрипт выполняется от имени www-data.
- Выполните скрипт через cli:
- Откройте в браузере страницу: yourpasswork.domain/testldap.php
Пришлите, пожалуйста, результат работы скрипта в виде скриншота.
сли вы настраиваете LDAPS и работа скрипта завершается успешно через cli, а при выполнении скрипта через веб-интерфейс вы получаете ошибку «Can't contact LDAP server», то вам нужно дать необходимые права для пользователя, от имени которого работает Apache/Nginx/IIS, на чтение хранилища сертификатов или одного конкретного сертификата.
При использовании ldaps необходимо явно указать протокол «ldaps://» вначале имени хоста, например: $ldaphost="ldaps://passwork.local:636";
Для работы LDAPS в ваша ОС должна доверять сертификатам CA, выпустившего сертификат LDAPS-сервера.
Сертификаты должны иметь расширение .crt
- Создайте директорию /usr/local/share/ca-certificates/ , если она не существует:
- Поместите сертификат LDAPS-сервера в эту директорию:
- Обновите хранилище сертификатов:
- Разрешите динамическое конфигурирование хранилища сертификатов:
- Поместите сертификат LDAPS-сервера в директорию /etc/pki/ca-trust/source/anchors/:
- Обновите хранилище сертификатов:
Воспользуйтесь разделом Добавление LDAPS сертификата в Windows, чтобы добавить сертификат LDAPS в доверенные в OpenLDAP.
Чтобы протестировать возможные проблемы с сертификатами во время соединения выполните следующую команду:
Чтобы верифицировать сертификаты выполните следующую команду:
- С помощью директивы -CAfile укажите сертификат CA выпустившего сертификат сервера LDPAS
- С помощью директивы -untrusted укажите сертификат сервера LDAPS и сертификаты промежуточных серверов в цепочке (если промежуточные сертификаты существуют в цепочке).