LDAPS-Konfiguration
Bei Verwendung von LDAPS müssen Sie das Protokoll „ldaps://" am Anfang des Hostnamens und den Port „636" angeben, z. B.: ldaps://passwork.local:636
Damit LDAPS funktioniert, muss der Passwork-Server den CA-Zertifikaten vertrauen, die das LDAPS-Serverzertifikat ausgestellt haben.
Installation von Zertifikaten:
Zertifikate müssen die Erweiterung .crt haben
Ubuntu/Debian
Für Astra Linux installieren Sie zusätzlich das Paket:
apt install libldap-common -y
Platzieren Sie das LDAPS-Serverzertifikat im Verzeichnis:
cp ldap_certificate.crt /usr/local/share/ca-certificates/
Aktualisieren Sie den Zertifikatspeicher:
sudo update-ca-certificates
CentOS
Aktivieren Sie die dynamische Konfiguration des Zertifikatspeichers:
update-ca-trust force-enable
Platzieren Sie das LDAPS-Serverzertifikat im Verzeichnis /etc/pki/ca-trust/source/anchors/:
cp ldap_certificate.crt /etc/pki/ca-trust/source/anchors/
Aktualisieren Sie den Zertifikatspeicher:
sudo update-ca-certificates
Docker
Um das LDAPS-Stammzertifikat zu den vertrauenswürdigen Zertifikaten hinzuzufügen, kopieren Sie das .pem- oder .crt-Zertifikat in das Verzeichnis ./conf/custom_ca und starten Sie den PHP-Container neu:
docker restart passwork_php
Windows
Verwenden Sie den Abschnitt Hinzufügen eines LDAPS-Zertifikats unter Windows.
LDAPS-Debugging
Um mögliche Zertifikatsprobleme bei der Verbindung zu testen, führen Sie den folgenden Befehl aus:
openssl s_client -connect dc1.local:636 -showcerts
Um Zertifikate zu überprüfen, führen Sie den folgenden Befehl aus:
openssl verify -CAfile RootCert.pem -untrusted Intermediate.pem UserCert.pem
Geben Sie mit der Direktive -CAfile das CA-Zertifikat an, das das LDAPS-Serverzertifikat ausgestellt hat.
Geben Sie mit der Direktive -untrusted das LDAPS-Serverzertifikat und Zwischenzertifikate in der Kette an (falls Zwischenzertifikate vorhanden sind).