0

我在对服务器执行经过身份验证的绑定时遇到问题。这些问题似乎不在代码中,但可能是服务器问题。

让你知道;

  • LDAP 在 Apache/PHP 中启用
  • 我以 user@domain.com 身份连接
  • 域控制器正在运行 LDAP,并且在防火墙中有一个条目 (Windows Server 2008 R2)
  • 我可以执行匿名绑定

我可以使用这个脚本匿名绑定;

$ldapconn = ldap_connect("machinename.domain.com")
    or die("Could not connect to LDAP server.");

if ($ldapconn) {

    // binding anonymously
    $ldapbind = ldap_bind($ldapconn);

    if ($ldapbind) {
        echo "LDAP bind anonymous successful...";
    } else {
        echo "LDAP bind anonymous failed...";
    }

}

但是,当我尝试使用此脚本进行经过身份验证的绑定时,它会失败。

// Authenticated Bind
$ldaprdn  = 'username@domain.com';     // ldap rdn or dn
$ldappass = 'password';  // associated password

// connect to ldap server
$ldapconn = ldap_connect("machinename.domain.com")
    or die("Could not connect to LDAP server.");

if ($ldapconn) {

    // binding to ldap server
    $ldapbind = ldap_bind($ldapconn, $ldaprdn, $ldappass);

    // verify binding
    if ($ldapbind) {
        echo "LDAP bind successful...";
    } else {
        echo "LDAP bind failed...";
    }

}

我哪里错了?

4

2 回答 2

0

可能您的 LDAP 需要DN作为登录名。要检索 DN,请先搜索用户uid

$search = ldap_search($ldapconn, $baseDn, $filter, $attributes);

if ($search) {
    $entries = ldap_get_entries($ldapconn, 'uid=' . $ldaprdn);// Here $ldaprdn is the email
    if (is_array($entries)) {
        $ldaprdn = $entries[0]['dn']; // Get the DN of the user
    }
}

$ldapbind = ldap_bind($ldapconn, $ldaprdn, $ldappass);

// ....

注意:您应该转义$ldaprdn以避免 LDAP 注入攻击。

于 2013-04-09T09:58:19.703 回答
0

好的,经过大量调查,我打开了错误信息ldap_errno()ldap_error()发现它带回了错误“需要强(er)身份验证”,发现了两种可能的解决方案;

调整组策略设置

  • 协商签名(网络安全:LDAP 客户端签名要求)

  • 无签名要求(域控制器:LDAP 服务器签名要求)

  • 结果:成功绑定,当我输入错误的用户名或密码时,它会按预期抛出“无效凭据”。

启用基于 SSL 的 LDAP (LDAPS)

于 2013-04-09T12:01:53.703 回答