3

在我们基于 Web 的应用程序中,我们支持 LDAP 身份验证。它适用于下面的代码。现在我们要支持 LDAP over TLS。我们在 SUSE Linux Enterprise Server 11 上为客户托管我们的产品,每个客户可以拥有不同的 TLS 证书。

我的问题是:

  • 如何设置 SUSE 服务器(即 LDAP 客户端) - 为每个客户放置证书的位置,我需要编辑任何 conf 文件吗?
  • 如何使用来自 php 的不同证书通过 TLS 进行 LDAP 身份验证。什么是确切的 php 语法?
  • 什么类型的服务器有关系吗?交换、OpenLDAP 等?
  • 现在我们有来自 Exchange 的 .cer 证书。对于 OpenLDAP 是否可以,或者必须将其(如何)转换为 .pem?

SUSE 服务器 = LDAP 客户端配置

  • SUSE Linux Enterprise Server 11 (x86_64)
  • ldapsearch:@(#)$OpenLDAP:ldapsearch 2.4.26(2012 年 9 月 26 日 13:14:42)
  • PHP 版本 5.4.9
  • Zend 引擎 v2.4.0

通过阅读http://php.net/ldap_connect我了解到我可以使用不同的证书,但我不知道如何使用。

function authenticateZendAuth($username, $password){
   require_once 'Zend/Auth.php';
   $auth = Zend_Auth::getInstance();

   $ldapOptions = getConfigVariableValue('->ldap');

   $options = $ldapOptions->toArray();
   unset($options['log_path']);

   require_once 'Zend/Auth/Adapter/Ldap.php';
   $adapter = new Zend_Auth_Adapter_Ldap($options, $username, $password);

   $authenticated = $auth->authenticate($adapter);

   $log_path = $ldapOptions->log_path;
   if ($log_path) {
       $messages = $authenticated->getMessages();

       require_once("Zend/Log.php");
       require_once("Zend/Log/Writer/Stream.php");
       require_once("Zend/Log/Filter/Priority.php");
       $logger = new Zend_Log();
       $logger->addWriter(new Zend_Log_Writer_Stream($log_path));
       $filter = new Zend_Log_Filter_Priority(Zend_Log::DEBUG);
       $logger->addFilter($filter);

       foreach ($messages as $i => $message) {
           if ($i-- > 1) { // $messages[2] and up are log messages
               $message = str_replace("\n", "\n  ", $message);
               $logger->log("Ldap: $i: $message", Zend_Log::DEBUG);
           }
       }
   }

   return $authenticated;
}
4

1 回答 1

2

如何设置我们的 SUSE 服务器(即 LDAP 客户端) - 为每个客户放置证书的位置,我需要编辑任何 conf 文件吗?

如果您使用的是openssl(slapd),那么将证书放在哪里并不重要,只要您可以将配置文件设置为指向即可。它可能看起来像这样:

TLSCACertificateFile    /usr/var/openldap-data/cacert.pem 
TLSCertificateFile          /usr/var/openldap-data/servercrt.pem 
TLSCertificateKeyFile   /usr/var/openldap-data/serverkey.pem

您将需要请求(或创建自己的)证书,这些证书与您用于 HTTPS 的证书相同。这是导入域名的地方,当您创建/请求证书时,它需要与您将要使用它的域名相匹配。有关详细信息,请参阅:http ://www.openldap.org/pub/ksoper/OpenLDAP_TLS.html。

如何使用来自 php.ini 的不同证书通过 TLS 进行 LDAP 身份验证。什么是确切的 php 语法?

你真的不需要在这里做任何特别的事情。确保使用适当的域名证书设置 LDAP 服务器。并确保您的本地 openladap 客户端(运行您的 php)通过其配置文件识别该证书的签名权限。然后注意许多 Zend 示例 ( http://files.zend.com/help/Zend-Framework/zend.auth.adapter.ldap.html ) 使用配置文件来设置 Zend LDPA 客户端并打开 TLS . 您也可以使用 Zend_Ldap::setOptions() - 请参阅http://framework.zend.com/manual/1.12/en/zend.auth.adapter.ldap.html上的注释

什么类型的服务器重要吗?交换、OpenLDAP 等? 不,不是。我的意思是,配置 LDAP 服务器很重要,但 php 客户端根本不关心。

现在我们有来自 Exchange 的 .cer 证书。对于 OpenLDAP 是否可以,或者必须将其(如何)转换为 .pem?

见:http ://www.sslshopper.com/article-most-common-openssl-commands.html

openssl x509 -inform der -in certificate.cer -out certificate.pem
于 2013-03-26T21:05:12.463 回答