Connection LDAPS, port 636, changer mot de passe active directory

[hair_peace]

Bonjour à tous,

j'essaye de mettre en place une interface web permettant à des internautes de modifier leur mot de passe LDAP.

Mon serveur LDAP est un serveur Active Directory tournant sur un Windows server 2003 r2
Mon serveur Web est un apache 2.2.14/PHP 5.3.1 tournant sur un Windows server 2003 r2

J'ai suivi ce tutoriel:
http://geekdefrance.fr/2010/08/10/tu...tory-avec-php/

De mon serveur web, j'arrive à me connecter en SSL sur le port 636 à mon serveur LDAP, via l'application "Ldap Admin Tool 5.6". Il me demande même une confirmation pour le certificat. Donc, selon moi, la connection SSL via certificat fonctionne.

Mon problème est maintenant au niveau PHP/Apache

Mon code PHP

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$adConn = ldap_connect("serverName", 636) or die("Echec : la connection AD a echoue!");
ldap_set_option($adConn, LDAP_OPT_PROTOCOL_VERSION, 3);
$bind = ldap_bind($adConn, <credential>, <password>);
ldap_close($adConn);

Erreur:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ldap_bind(): Unable to bind to server: Can't contact LDAP server

Et je n'ai pas d'erreur si je me connecte au port 389 plutôt qu'au 636.

J'ai donc créé les dossiers "c:\openldap" et "c:\openldap\sysconf" à la main...
et j'ai créé le fichier "c:\openldap\sysconf\ldap.conf"

Avec la ligne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

TLS_REQCERT never

(bon ok, là on ne tient pas compte du certificat mais il parait que ça fonctionne )
mais ça ne fonctionne pas...

Y' a-t-il un moyen de vérifier que le fichier "ldap.conf" est bien pris en compte par PHP (ou Apache ??) ?

D'avance merci

[Thes32]

Citation:

Envoyé par hair_peace

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

TLS_REQCERT never

(bon ok, là on ne tient pas compte du certificat mais il parait que ça fonctionne )
mais ça ne fonctionne pas...

ça fonctionne pas quand même... Peux tu indiquer le paramètre TLS_CACERT et le chemin du certificat ? voir le commentaire https://bugs.php.net/bug.php?id=18049#1044382147

[hair_peace]

Tout d'abord, sorry pour le délai de réponse...

Merci Thes32 !

j'ai donc essayé en mettant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
TLS_REQCERT never
TLS_CACERT C:/openldap/sysconf/certs/certnew.cer

dans C:/openldap/sysconf/ldap.conf

j'ai aussi essayé en mettant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
TLS_REQCERT demand
TLS_CACERT C:/openldap/sysconf/certs/certnew.cer

mais rien n'y fait... PHP ne veut pas "binder"

Y a-t-il un moyen de vérifier que ce certificat est bien pris en compte par PHP ?

Merci

[Marc3001]

J'ai pris ça sur le manual php de ldap_connect :

Citation:

Si vous utilisez OpenLDAP 2.x.x, vous pouvez spécifier une URL au lieu d'un nom d'hôte.Pour utiliser LDAP avec SSL, compilez OpenLDAP 2.x.x avec le support SSL, configurez PHP avec SSL, et utilisez ldaps://hostname/ comme nom d'hôte.

T'as bien mis ldaps:// avant le nom de ton serveur dans la commande ldap_connect?

[hair_peace]

Merci Marc3001

Je ne mettais pas le "ldaps://" mais, même avec, cela ne fonctionne pas...
Je vais quand même le laisser, ça ne mange pas de pain

[Thes32]

Juste pour tester tu peux tester avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
TLS_REQCERT never
TLS_CACERT C:\openldap\sysconf\certs\certnew.cer

on est bien d'accord que le certificat à placer est bien celui générer par Active Directory.

[hair_peace]

Merci Thes32,

oui, il s'agit bien du certificat généré par l'Active Directory. Certificat que j'ai copié manuellement dans C:\openldap\sysconf\certs\

Sinon, j'ai remplacé les '/' par des '\' avec 'TLS_REQCERT never' mais ça ne fonctionne toujours pas...