Starko wrote
$conf['auth']['ad']['domain_controllers'] = '
dc@company.loc';
Nur um sicher zu gehen: Ist das
dc@company.loc ein Tippfehler? Hier sollte eigentlich der Name des Domänencontrollers stehen, bei mehreren durch ", " getrennt. Bei einem FQDN hat ein "@" eigentlich nichts zu suchen. Sollte das vllt. "dc.company.loc" heißen?
Starko wrote
Das ist alles was ich getan habe. Und ich habe das Gefühl, dass das viel zu wenig ist. Muss ich wirklich nur diese Datei anpassen und den Apache neustarten? Welche config Dateien muss ich alle anpassen?
Prinzipiell rennt es bereits wenn die folgenden Optionen gesetzt sind (Neustart etc. nicht notwendig, PHP interpretiert die Datei ja bei jedem Seitenaufruf aufs neue):
$conf['authtype']
$conf['auth']['ad']['account_suffix']
$conf['auth']['ad']['base_dn']
$conf['auth']['ad']['domain_controllers']
Je nachdem wie dein Domain Controller konfiguriert ist lässt er aber ggf. keine anonymen und/oder unverschlüsselten Verbindungen zu.
Falls anonyme Anfragen abgelehnt werden (wie dies bei Windows 2k8 bei den meisten Abfragen standardmäßig der Fall sein sollte) kannst du einen Nutzer im AD anlegen, dem z.B. nur das Auflisten und Auslesen der Benutzerkonten erlaubt ist (testweise kann man natürlich auch mehr Berechtigungen vergeben und das erst einschränken, sobald es funktioniert, um Fehlersuche zu vereinfachen). Den User und sein Passwort dann dann mit folgenden Optionen angeben:
$conf['auth']['ad']['ad_username']
$conf['auth']['ad']['ad_password']
Alternativ könnte man auch anonyme Abfragen am AD zulassen, je nach Sicherheitsanforderung ist dies u.a. wg. erhöhter DDoS-Gefahr aber nicht zu empfehlen. Mehr Informationen:
*
http://www.petri.co.il/anonymous_ldap_operations_in_windows_2003_ad.htm
*
http://www.google.de/search?q=active+directory+anonymous+query
Verschlüsselung aktivieren geht über:
$conf['auth']['ad']['use_tls']
bzw.
$conf['auth']['ad']['use_ssl']
Achtung: nicht gleichzeitig verwenden. Wahrscheinlich funktioniert
use_tls. Unverschlüsselt will man das Ganze auf Dauer eh nicht betreiben.