Из-за Привязка канала LDAP 2020 и требование подписи LDAP для Windows Я должен убедиться, что все ldap-клиенты использовали порт ldaps 636 при аутентификации с использованием нашей Active Directory (предполагая, что это самый простой вариант, хорошо осведомленный о других вариантах, таких как использование глобального каталога или TLS - STARTTLS на порту 389)
Моя проблема теперь в том, что Apache регистрирует ошибку - или, по крайней мере, это то, что я думаю, даже если он говорит authnz_ldap: info
[authnz_ldap:info] [pid 5524:tid 5528] [client 172.33.33.33:51539] AH01695: auth_ldap authenticate: user run authentication failed; URI /gateway/ [LDAP: CA certificates cannot be set using this method, as they are stored in the registry instead.][]
Наш AD использует самоподписанные сертификаты. Я экспортировал как корневой, так и промежуточный файлы в два отдельных файла .der, а затем с помощью openssl преобразовал их в .pem. Затем я вставил корень в конец файла, содержащего промежуточное звено (не совсем уверен, но я думаю, что это правильный способ сделать это, по крайней мере, никаких новых ошибок, если для LDAPVerifyServerCert установлено значение 'On')
Настройки конфигурации Apche:
LDAPVerifyServerCert Off
LDAPTrustedMode SSL
LDAPTrustedGlobalCert CERT_BASE64 D:\klpssl\klpactivedirectory\klp-rootca.pem
AuthLDAPUrl ldaps://ourDC:636/DC=corp,DC=com?sAMAccountName?sub?(objectClass=*)
LDAPTrustedClientCert CERT_BASE64 D:\ssl\activedirectory\subAndRoot.pem
И как-то вроде работает, но опять же, я не совсем уверен, как понять этот след
[authz_core:debug] [pid 9952:tid 5472] mod_authz_core.c(845): [client 172.33.33.33:54351] AH01628: authorization result: granted (no directives), referer: https://dev-myapp.com/gateway/