使用Zend Ldap對Windows AD進行身份驗證

Question

我正在從使用Zend Framework 1.12構建的PHP應用程序中針對Windows AD Server的LAMP系統進行身份驗證。 我正在使用Zend_Ldap進行連接。 如果我不使用安全連接即LDAP over LDAPS，則身份驗證過程可以正常工作。 但是，我希望能夠從Web應用程序執行其他操作，例如重置AD服務器上的密碼。 但是，這需要安全連接。

首先是一些背景信息

我的Web應用程序使用自簽名證書從HTTPS連接（https：// intranet）運行。 自簽名證書已添加到AD服務器上的受信任存儲中。

當我運行我的腳本時，我收到此錯誤消息：

Error: 0x51 (Can't contact LDAP server; TLS error -8179:Peer's Certificate issuer is not recognized.): ldaps://192.168.0.x

我的代碼如下：

$options = array(
                 'host' => 192.168.0.2,
                 'accountDomainName' => domain.internal,
                 'accountDomainNameShort' => domain,
                 'accountCanonicalForm' => 3,
                 'baseDn' => "OU=Establishments,DC=domain,DC=internal"
                 'username' => 'admin',
                 'password' => 'password'
                 'useSsl' => true
                 );
$ldap = new Zend_Ldap($options);
$ldap->bind();

我的問題是：

我的問題是在我的代碼或服務器配置的某個地方嗎？ 有沒有人有Zend_Ldap和AD的經驗？

Answer 1

好的，稍微進一步閱讀顯示我的問題與服務器有關。

我需要將CA AD服務器中的CA證書導入到/ etc / openldap / certs中我的Linux機器上的證書存儲區，然后編輯/etc/openldap/ldap.conf，使其顯示為：

TLS_CACERT /etc/openldap/certs/mydoamin.com.pem

我現在可以安全地將LDAPS連接到Windows AD Server。