最近需要架设个论坛,需要支持 LDAP 认证,一番Google之后,选择了来源的 phpBB3
废话不多说了,直接来看看 LDAP 认证设置部分.
管理员控制面板->客户端通信->认证设置
关键参数设置
LDAP 服务器名称: 192.168.1.21 --domain.local 域控的IP
LDAP基础dn: OUTest, DC=Domain,DC=local
LDAP uid: sAMAccountName
LDAP 用户 dn: CN=phpBB,CN=Users,DC=domain,DC=local
LDAP 密码: phpBB用户的密码
LDAP基础dn: OUTest, DC=Domain,DC=local
LDAP uid: sAMAccountName
LDAP 用户 dn: CN=phpBB,CN=Users,DC=domain,DC=local
LDAP 密码: phpBB用户的密码
因为2003以后域不再支持匿名用户查询,所以需要有个域用户来做 LDAP 查询
LDAP uid - 这里用的是 sAMAccountName, 当然你也可以使用 UPN - userPrincipalName 属性,甚至自定义字段,比如来个 employeeNumber 之类的,让用户以工号登录.
具体的认证过程:
当你第一次填入域用户的用户名和密码时,当 phpBB 发现验证通过,实际上会在php_users表里面添加这个域用户, 而之后的认证其实就分开了, 域用户和论坛用户修改各自的密码都不会影响到对方,这个过程仅仅在第一次登录论坛的时候有效.
那么此时如果你通过论坛页面注册个新用户,这个用户也是会存在于论坛程序的DB里面,而不会在AD中生成,而且,因为开的是 LDAP 认证, 所以这个新建的DB用户也是没法登录论坛的.
解决方法请参考 http://www.phpbb.com/community/viewtopic.php?f=46&t=981765
<?phpinclude_once($phpbb_root_path . 'includes/auth/auth_ldap.' . $phpEx);include_once($phpbb_root_path . 'includes/auth/auth_db.' . $phpEx);function init_ldap_db(){init_ldap();}function login_ldap_db(&$username, &$password){$test_login_ldap = login_ldap(&$username, &$password);if (($test_login_ldap[status] == LOGIN_SUCCESS)||($test_login_ldap[status] == LOGIN_SUCCESS_CREATE_PROFILE)){return $test_login_ldap;}return login_db(&$username, &$password);}?>
; "phpbb_ldap.jpg")
; "Solar-Halo.jpg")
; "sweetpotato.jpg")
; "cardgame.jpg")
Leave a comment