Настройка LDAPS

При использовании LDAPS необходимо указать протокол «ldaps://» в начале имени хоста, например: ldaps://passwork.local:636

Для работы LDAPS ваша ОС должна доверять сертификатам CA, выпустившего сертификат LDAPS-сервера.

---

Установка сертификатов:

к сведению

Сертификаты должны иметь расширение .crt

Ubuntu/Debian

Создать директорию /usr/local/share/ca-certificates/, если она не существует:

mkdir /usr/local/share/ca-certificates/

Поместить в директорию сертификат LDAPS-сервера:

cp <full_path_to_the_certificate> /usr/local/share/ca-certificates/

Обновите хранилище сертификатов:

sudo update-ca-certificates

CentOS

Разрешить динамическое конфигурирование хранилища сертификатов:

update-ca-trust force-enable

Поместить сертификат LDAPS-сервера в директорию /etc/pki/ca-trust/source/anchors/:

cp <full_path_to_the_certificate> /etc/pki/ca-trust/source/anchors/

Обновить хранилище сертификатов:

sudo update-ca-certificates

Docker

Для добавления корневого сертификата LDAPS в доверенные, необходимо скопировать сертификат .pem или .crt в директорию ./conf/custom_ca и перезапустить контейнер PHP:

docker compose restart passwork_php

Windows

Воспользуйтесь разделом Добавление LDAPS сертификата в Windows, чтобы добавить сертификат LDAPS в доверенные в OpenLDAP.

---

Отладка LDAPS

Чтобы протестировать возможные проблемы с сертификатами во время соединения, выполнить следующую команду:

openssl s_client -connect dc1.local:636 -showcerts

Чтобы верифицировать сертификаты, выполнить следующую команду:

openssl verify -CAfile RootCert.pem -untrusted Intermediate.pem UserCert.pem

С помощью директивы -CAfile укажите сертификат CA, выпустившего сертификат сервера LDAPS

С помощью директивы -untrusted укажите сертификат сервера LDAPS и сертификаты промежуточных серверов в цепочке (если промежуточные сертификаты существуют).

---