Hi Michael,
dank dir.
Es hat tatsächlich geklappt.
Grund: mal wieder das selbst signierte ZErtifikat im AD/LDAP.
Weitere Probleme machen das Leben schwer und ich dokumentiere hier mal meine ERfahrung:
- ldapsearch vs. ldbsearch: das ist seltsam, „ldbsearch“ auf dem Server (18.04) und auf dem wordpress-host (18.04) liefern unterschiedliche „–help“ ERgebnisse zurück, obwohl die selben Pakete installiert sind. Scheinbar ist auf dem Server noch etwas zusätzliches (samba/kerberos) aktiv, siehe:
server# ldbsearch -h
...
--relax pass relax control
--cross-ncs search across NC boundaries
--extended-dn show extended DNs
Help options:
-?, --help Show this help message
--usage Display brief usage message
Common Samba options:
-d, --debuglevel=DEBUGLEVEL Set debug level
--debug-stderr Send debug output to STDERR
...
während:
blog# ldbsearch -h
...
--relax pass relax control
--cross-ncs search across NC boundaries
--extended-dn show extended DNs
Help options:
-?, --help Show this help message
--usage Display brief usage message
ENDE
- wenn ich ldapsearch verwende, kann ich das TLS_REQCERT so "aus"schalten (never) oder auf "allow"schalten (allow):
LDAPTLS_REQCERT=ALLOW ldapsearch -H ldaps://server...
oder ich kann in /etc/ldap/ldap.conf eintragen: TLS_REQCERT allow
- wenn ich ldapsearch verwende, funktioniert unter der v7 folgender Befehl (nach Passworteingabe):
LDAPTLS_REQCERT=ALLOW ldapsearch -H ldaps://server.linuxmuster.meine-schule.de -D global-binduser@linuxmuster -b "DC=linuxmuster,DC=meine-schule,DC=de" -x -W samAccountName=kuechel
hier sind ide Kombinationen, und ob sie funktionieren:
... -D "CN=global-binduser,OU=Management,OU=GLOBAL,DC=linuxmuster,DC=meine-schule,DC=de" ... -> funktioniert
... -D global-binduser@linuxmuster.meine-schule.de ... -> funktioniert
... -D global-binduser@linuxmuster ... -> funktioniert (!, linuxmuster ist die SAMBA-Domäne)
... -D global-binduser ... -> funktioniert nicht
-
für PHP muss ich in /etc/ldap/ldap.conf das obige „allow“ oder „never“ eintragen, damit die Verbindung klappt (ich habe auf „never“ gestellt).
-
sobald ich dem LDAP/AD in der v7 ein ordentliches Zertifikat unterjubeln kann, fällt der schritt oben weg und man ersetzt dann „never“ durch „always“ (glaub ich).
Jetzt hab ich dein Plugin wpDirAuth tatsächlich soweit gekriegt, dass ich mich anmelden kann. Vielen DAnk.
Ich werde die anderen noch probieren, kann mir nur vorstellen, dass die auch mitspielen.
VG, Tobias