LDAP SSL Anbindung (PHP Skript)

[dolphon 10]

Hallo,

 

ich habe folgendes Problem.

Ich habe eine PHP Skript geschrieben, welches es möglich macht, dass ein Benutzer über den Browser sein Kennwort ändern kann.

 

Jetzt klappt das ändern des Kenwortes allerdings nicht nicht, weil der Server mir folgende Meldung ausgibt:

 

"Server ist unwilling to perform"

 

Ich meine gelesen zu haben, dass gewissen LDAP Funktionen, darunter auch das Kennwort ändern, nur möglich sind, wenn eine LDAPS SSL Verbindung zum Server aufgebaut wird.

 

Kann mir dies einer bestätigen?

 

Da ich zum aktivieren der SSL Funktion ein Zertifkat brauche, dachte ich mir erstellste mal gerade bei CAcert ein.

Da das ganze aber in einer Testumgebung läuft, mit keinem gültigen FQDN, kann ich auch keine Zertifikat erstellen.

 

Kann mir einer Tips geben, wie ich es dennoch zum laufen bekommmen.

 

 

Gruß

 

Dolphon

[Daim 12]

Salve,

 

Ich meine gelesen zu haben, dass gewissen LDAP Funktionen, darunter auch das Kennwort ändern, nur möglich sind, wenn eine LDAPS SSL Verbindung zum Server aufgebaut wird.

 

Kann mir dies einer bestätigen?

 

ja, dass ist so. Das Kennwort eines AD-Benutzers wird im Attribut unicodePwd gespeichert. Um das Kennwort zu setzen, wird eine 128Bit Secure Sockets Layer (SSL) Verbindung zum DC benötigt.

[NilsK 2.789]

Moin,

 

Ich meine gelesen zu haben, dass gewissen LDAP Funktionen, darunter auch das Kennwort ändern, nur möglich sind, wenn eine LDAPS SSL Verbindung zum Server aufgebaut wird.

 

das ist durchaus richtig. Aber warum arbeitest du nicht einfach, wie es empfohlen wird, mit ADSI? Das sollte doch auch per PHP machbar sein.

 

IADsUser::SetPassword Method (Windows)

 

Da das ganze aber in einer Testumgebung läuft, mit keinem gültigen FQDN, kann ich auch keine Zertifikat erstellen.

 

Den Zusammenhang verstehe ich nicht.

 

Kann mir einer Tips geben, wie ich es dennoch zum laufen bekommmen.

 

Hilft dies?

 

faq-o-matic.net SSL-Zertifikate fr den IIS mit OpenSSL

 

Sobald auf dem DC ein Zertifikat vorhanden ist, akzeptiert er von selbst LDAPS-Verbindungen, einschalten muss man dann nichts mehr.

 

Gruß, Nils

[dolphon 10]

Danke für Tips.

 

Habe mit Hilfe folgender Seite:

 

Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle

 

und

 

faq-o-matic.net SSL-Zertifikate fr den IIS mit OpenSSL

 

erfolgreich ein Zertifiakt erstellt und auch eingebunden.

 

Mit ldp.exe versuche ich nun eine SSL Verbindung aufzubauen. Leider schlägt dieser immer Fehl. Ohne SSL klappt es einwandfrei.

 

Meine Testdomäne ist ORION und der FQDN ist orion.local. Diese FQDN ist auch beim Zertifiakt eingetragen.

 

Wo könnte der Fehler liegen?

[NilsK 2.789]

Moin,

 

Mit ldp.exe versuche ich nun eine SSL Verbindung aufzubauen. Leider schlägt dieser immer Fehl. Ohne SSL klappt es einwandfrei.

 

und du bekommst welche Fehlermeldung?

 

Wo könnte der Fehler liegen?

 

Akzeptiert denn der Client die Zertifikate überhaupt (Root-Zertifikat importiert)?

 

Darüber hinaus aber noch mal die Empfehlung, die üblicherweise genutzte ADSI-Schnittstelle zu nutzen anstelle von LDAP.

 

Gruß, Nils

[dolphon 10]

Sorry für die späte Anwort.

Das mit dem SSL klappt nun. Hatte vergessen den DC neuzustarten.

Allerdings habe ich nun noch das Problem, dem Xampp so einzustellen, das dieser das Zertifikat nutzt, damit er eine Verbindung aufbauen darf.

 

 

Zum Thema ADSI.

Mit ADSI habe ich in Perl schon einiges gemacht. Dafür gibt es auch genug Beispiele etc.

Für PHP kann ich das aber nicht behaupten. Dafür habe ich so gut wie nichts gefunden. Weil PHP auch eine Vorgabe ist, die ich nicht Ändern kann, werde ich wohl bei der LDAP Ausführung bleiben.