php_ldap克服ssl困難

Question

我試圖從Ubuntu（hardy 8.04LTS）主機使用php_ldap（使用ADLdap）綁定到AD。 在端口389上綁定ldap：// myserver是可以的，但是不允許我做諸如設置密碼之類的事情，因此我需要在端口636上綁定到ldaps：// myserver。

我知道某種形式的憑據傳遞可能會發生，也許帶有證書，但是我真的很努力地使任何事情都起作用-ldaps上的綁定失敗。

測試裝置AD在mydom.local域中有一個容器Users，我要綁定的帳戶位於Users容器中，並且DN為

'CN=LDAP BIND,OU=Users,DC=mydom,DC=local' and a password of 'mypass'

其sAMAccount名稱為ldap

我懷疑我要么需要在ubuntu盒子上安裝一些額外的軟件包，要么對Windows服務器上的AD做一些魔術，或者做一些獲取證書的工作，但是我被卡住了。

只是添加一些細節，如果我嘗試從命令行使用ldapsearch連接以搜索某個名為install的用戶，我會得到

ldapsearch -vv   -H 'ldaps://server.mydom.local' -Y DIGEST-MD5 -X 'dn:CN=LDAP BIND,OU=Users,DC=mydom,DC=local' sAMAccountname=install -U 'u:LDAP BIND'
ldap_initialize( ldaps://server.mydom.local:636/??base )
SASL/DIGEST-MD5 authentication started
Please enter your password: mypass
ldap_sasl_interactive_bind_s: Invalid credentials (49)

正如我所說，我可以成功綁定389。

我已經在Ubuntu盒子上安裝了ldap-utils，libldap，php5-ldap和/etc/ldap/ldap.conf，它是：

TLS_REQCERT never
BINDDN 'CN=LDAP BIND,OU=Users,DC=mydom,DC=local'
URI ldaps://server.mydom.local

有什么建議嗎？

Answer 1

啊哈！ 找到它-為了通過ssl綁定到AD，您需要安裝libsasl2-modules-gssapi-mit-這樣在ubuntu上使用

apt-get install libsasl2-modules-gssapi-mit

我在這里找到了答案： https : //help.ubuntu.com/community/ActiveDirectoryHowto

這使我所有的綁定問題都消失了。 顯然，如果您這樣做是為了允許ADLdap更改密碼，則與之綁定的用戶將需要對AD服務器具有足夠的權限。