我正在为我们在 DMZ 中运行的 Web 服务器编写 ISAPI 过滤器。此 ISAPI 过滤器需要连接到我们的内部域控制器以针对 Active Directory 进行身份验证。防火墙中有一条规则允许从 DMZ 服务器到我们的域控制器的 636 端口上的流量,并且防火墙显示流量可以正常通过。问题出在ldap_connect()功能上。0x51 Server Down尝试建立连接时出现错误。我们使用域控制器 IP 地址而不是 DNS 名称,因为 Web 服务器位于域之外。
ISAPI LDAP 连接代码:
// Set search criteria
strcpy(search, "(sAMAccountName=");
strcat(search, username);
strcat(search, ")");
// Set timeout
time.tv_sec = 30;
time.tv_usec = 30;
// Setup user authentication
AuthId.User = (unsigned char *) username;
AuthId.UserLength = strlen(username);
AuthId.Password = (unsigned char *) password;
AuthId.PasswordLength = strlen(password);
AuthId.Domain = (unsigned char *) domain;
AuthId.DomainLength = strlen(domain);
AuthId.Flags = SEC_WINNT_AUTH_IDENTITY_ANSI;
// Initialize LDAP connection
ldap = ldap_sslinit(servers, LDAP_SSL_PORT, 1);
if (ldap != NULL)
{
// Set LDAP options
ldap_set_option(ldap, LDAP_OPT_PROTOCOL_VERSION, (void *) &version);
ldap_set_option(ldap, LDAP_OPT_SSL, LDAP_OPT_ON);
// Make the connection
//
// FAILS HERE!
//
ldap_response = ldap_connect(ldap, &time);
if (ldap_response == LDAP_SUCCESS)
{
// Bind to LDAP connection
ldap_response = ldap_bind_s(ldap, (PCHAR) AuthId.User, (PCHAR) &AuthId, LDAP_AUTH_NTLM);
}
}
// Unbind LDAP connection if LDAP is established
if (ldap != NULL)
ldap_unbind(ldap);
// Return string
return valid_user;
servers = <DC IP Address>
我已经在与 AD 位于同一域内的本地计算机上测试了此代码,并且它可以在 LDAP 和 LDAP over SSL 上运行。我们在域控制器上安装了来自 Active Directory 注册策略的服务器证书,但我在其他地方读到我可能还需要安装客户端证书(用于我们的 Web 服务器)。这是真的?
此外,我们有一个单独的 wordpress 站点运行在同一个 DMZ Web 服务器上,它通过 SSL 连接到 LDAP 就好了。它通过 PHP 使用 OpenLDAP 进行连接,并使用我们的域控制器的 IP 地址进行连接。我们有一个 ldap.conf 文件,其中包含一行代码:TLS_REQCERT never。有没有办法在 Visual C 中用我正在尝试为 ISAPI 过滤器做的事情来模仿这种效果?希望这是一个编程问题,而不是证书问题。如果这超出了编程范围,请让我知道或将我重定向到更好的地方发布此内容。
谢谢!