在我们基于网络的应用程序中,我们支持 LDAP 身份验证。它适用于下面的代码。现在我们希望通过 TLS 支持 LDAP。我们在 SUSE Linux Enterprise Server 11 上为我们的客户托管我们的产品,每个客户都可以拥有不同的 TLS 证书。
我的问题是:
- 如何设置 SUSE 服务器(即 LDAP 客户端)- 在哪里放置每个客户的证书,我是否需要编辑任何 conf 文件?
- 如何使用来自 php 的不同证书通过 TLS 进行 LDAP 身份验证。什么是确切的 php 语法?
- 服务器的类型重要吗? Exchange、OpenLDAP 等?
- 现在我们有来自 Exchange 的 .cer 证书。这对 OpenLDAP 是否可行,还是必须将其转换(如何)为 .pem?
SUSE 服务器 = LDAP 客户端配置
- SUSE Linux 企业服务器 11 (x86_64)
- ldapsearch:@(#) $OpenLDAP:ldapsearch 2.4.26(2012 年 9 月 26 日 13:14:42)
- PHP 版本 5.4.9
- Zend 引擎 v2.4.0
来自阅读http://php.net/ldap_connect我知道我可以使用不同的证书,但我不知道如何使用。
function authenticateZendAuth($username, $password){
require_once 'Zend/Auth.php';
$auth = Zend_Auth::getInstance();
$ldapOptions = getConfigVariableValue('->ldap');
$options = $ldapOptions->toArray();
unset($options['log_path']);
require_once 'Zend/Auth/Adapter/Ldap.php';
$adapter = new Zend_Auth_Adapter_Ldap($options, $username, $password);
$authenticated = $auth->authenticate($adapter);
$log_path = $ldapOptions->log_path;
if ($log_path) {
$messages = $authenticated->getMessages();
require_once("Zend/Log.php");
require_once("Zend/Log/Writer/Stream.php");
require_once("Zend/Log/Filter/Priority.php");
$logger = new Zend_Log();
$logger->addWriter(new Zend_Log_Writer_Stream($log_path));
$filter = new Zend_Log_Filter_Priority(Zend_Log::DEBUG);
$logger->addFilter($filter);
foreach ($messages as $i => $message) {
if ($i-- > 1) { // $messages[2] and up are log messages
$message = str_replace("\n", "\n ", $message);
$logger->log("Ldap: $i: $message", Zend_Log::DEBUG);
}
}
}
return $authenticated;
}
最佳答案
如何设置我们的 SUSE 服务器(即 LDAP 客户端)- 将每个客户的证书放在哪里,我是否需要编辑任何 conf 文件?
如果您使用的是 openssl (slapd),那么将证书放在哪里并不重要,只要您可以将配置文件设置为指向即可。它可能看起来像这样:
TLSCACertificateFile /usr/var/openldap-data/cacert.pem
TLSCertificateFile /usr/var/openldap-data/servercrt.pem
TLSCertificateKeyFile /usr/var/openldap-data/serverkey.pem
您需要申请(或创建您自己的)证书,这些证书与您用于 HTTPS 的证书相同。这是导入域名的地方,当您创建/请求证书时,它需要与您将要使用它的域名相匹配。请参阅:http://www.openldap.org/pub/ksoper/OpenLDAP_TLS.html了解更多详情。
如何使用来自 php 的不同证书通过 TLS 进行 LDAP 身份验证。什么是确切的 php 语法?
你真的不需要在这里做任何特别的事情。确保使用适当的域名证书设置 LDAP 服务器。并确保该证书的签名授权由您的本地 openladap 客户端(运行您的 php)通过其配置文件识别。然后注意许多 Zend 示例 (http://files.zend.com/help/Zend-Framework/zend.auth.adapter.ldap.html) 使用配置文件来设置 Zend LDPA 客户端并打开 TLS。您还可以使用 Zend_Ldap::setOptions() - 请参阅 http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html 上的注释
服务器的类型重要吗? Exchange、OpenLDAP 等? 不,不是真的。我的意思是,配置 LDAP 服务器很重要,但 php 客户端根本不关心。
现在我们有来自 Exchange 的 .cer 证书。这对 OpenLDAP 来说可以吗,还是必须将其转换(如何)为 .pem?
参见:http://www.sslshopper.com/article-most-common-openssl-commands.html
openssl x509 -inform der -in certificate.cer -out certificate.pem
关于php - 如何从 php/Zend 为 LDAP 使用多个 TLS 证书?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15260252/