Moin
Ich habe das Problem gelöst.
In /opt/lampp/bin/openldap/ldap.conf musste ich noch den zweiten Eintrag einfügen. Sie sieht jetzt folgendermaßen aus:
TLS_REQCERT allow
TLS_CACERTDIR /opt/lampp/etc/ssl.crt/
Keine Ahnung warum er den Pfad haben möchte, denn da ist ja ein Standardserverzertifikat drin, welches er aber nicht mal verwendet (wenn man es rauslöscht und lampp neustartet). Darin etwas ablegen tut er auch nicht...
Aber vielleicht hilft das einem anderen ja weiter.
Grüße
-------------------------------------------------------------------------------------------------------------------
Alte Anfrage:
Hallo
Ich habe ein Problem mit der LDAP-Verbindung über SSL (LDAPS). Ich muss ein kleines PHP-Script bauen, das überprüft, ob der Benutzer bei uns einen Account hat und wenn ja, dann darf er sich für unseren Service registrieren.
System:
Ubuntu 9.04
Lampp 1.7.3a
Mein PHP-Script:
- Code: Select all
<?php
$ldaphost = "ldaps://URL:636";
// without ssl
// $ldaphost = "ldap://URL";
$ldaprdn = "uid=MeineID,ou=people,dc=blub,dc=de"; // ldap rdn or dn
$ldappass = "asdads"; // associated password
$ldapconn = ldap_connect($ldaphost)
or die("Could not connect to LDAP server.");
if ($ldapconn) {
// anonym -- works without ssl, don't work with ssl
$ldapbind = ldap_bind($ldapconn);
// with login
// $ldapbind = ldap_bind($ldapconn,$ldaprdn,$ldappass);
}
?>
Das Problem ist, dass anonym ohne SSL funktioniert, aber anonym mit SSL nicht funktionert. Und mit login und ssl funktioniert es auch gar nicht (login + ohne ssl ist bei uns nicht erlaubt).
Das PHP-Script ist richtig, da ich es auf einem anderen Server getestet habe und es dort funktioniert (mit SSL + Login). Also liegt es irgendwie an der SSL-Verbindung.
Ich habe unter /opt/lampp/etc/openldap/ldap.conf auch das "TLS_REQCERT never" eingetragen, da wir natürlich ein selbst signiertes Zertifikat verwenden und ich gelesen habe, dass man es nicht verifizieren soll. Aber irgendwie klappt es nicht. Es wird immer die Fehlermeldung "-1" ausgegeben, dass er sich nicht zum LDAP-Server connecten kann.
Vielleicht ist auch dies hilfreich. Ich habe mir die ldap-utils noch heruntergeladen (und unter /etc/ldap/ldap.conf das TLS_REQCERT never eingetragen). In der Konsole funktoniert folgender Befehl:
- Code: Select all
sudo ldapsearch -v -x -H ldaps://URL:636 -D "uid=MeineID,ou=people,dc=bla,dc=de" "uid=dw1003" -W
Wenn ich aber nach /opt/lampp/bin gehe und dort folgenden Befehl eingebe, funktoniert es nicht:
- Code: Select all
sudo ./ldapsearch -v -x -H ldaps://URL:636 -D "uid=MeineID,ou=people,dc=bla,dc=de" "uid=dw1003" -W
Ich hoffe, mir kann jemand weiterhelfen und ein Tipp geben, woran es liegen könnte. Brauche ich z.B. ein Zertifikat vom LDAP-Server? Ich dachte, dass das bei der SSL-Verbindung dann ausgetauscht wird.
Grüße und Danke!