无法通过 LDAP 使用 AD（在 Windows Server 2012 R2 上）对 MediaWiki（在 LAMP/Ubuntu 上）用户进行身份验证

Question 1

我不知道 MediaWiki 的情况 - 但我有 DokuWiki 可以做你正在寻找的事情。我使用 Apache / Kerberos 集成来启动它 - 也许你也可以这样做。要开始，你需要：

生成 Kerberos keytab 文件。这有点像 Kerberos 信任所需的预共享凭据集。执行此操作时，请发出

ktpass -princ HTTP/<service host name>@<DOMAIN NAME> -mapuser <security principal> -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -pass <password> -out <filename>.keytab

在您的 AD 服务器上。

如果您的 Apache 位于 Linux 机器上（我的是），请安装该libpam-krb5包（或您系统上的等效包）。然后，编辑您的/etc/krb5.conf：
```
 [libdefaults]
 default_realm = <YOUR DOMAIN>
```

修改Directory适用于 Media Wiki 设置的 apache.conf 部分。添加 Kerberos 集成，如下所示：

# Kerberos Auth
<Directory>
    .... # Your Media Wiki stuff here
    AuthType Kerberos
    KrbAuthRealms <YOUR DOMAIN>
    KrbServiceName HTTP/<service hos name>
    Krb5Keytab /etc/apache2/<filename>.keytab
    KrbMethodNegotiate on
    KrbMethodK5Passwd on
    require valid-user
</Directory>

一旦你有了这个，浏览器将能够以本地用户 SSO 方式登录（如果你相应地配置了浏览器）。如果他们不是本地用户，他们将获得接受 AD 凭据的基本登录提示。

对于我来说，使用 DokuWikiauthad插件，这个设置运行得很好。我不知道它是否适用于 Media Wiki，但 Apache / Kerberos Stuff 对很多事情来说确实很好。希望它能有所帮助！

Answer

我不知道 MediaWiki 的情况 - 但我有 DokuWiki 可以做你正在寻找的事情。我使用 Apache / Kerberos 集成来启动它 - 也许你也可以这样做。要开始，你需要：

生成 Kerberos keytab 文件。这有点像 Kerberos 信任所需的预共享凭据集。执行此操作时，请发出

ktpass -princ HTTP/<service host name>@<DOMAIN NAME> -mapuser <security principal> -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -pass <password> -out <filename>.keytab

在您的 AD 服务器上。

如果您的 Apache 位于 Linux 机器上（我的是），请安装该libpam-krb5包（或您系统上的等效包）。然后，编辑您的/etc/krb5.conf：
```
 [libdefaults]
 default_realm = <YOUR DOMAIN>
```

修改Directory适用于 Media Wiki 设置的 apache.conf 部分。添加 Kerberos 集成，如下所示：

# Kerberos Auth
<Directory>
    .... # Your Media Wiki stuff here
    AuthType Kerberos
    KrbAuthRealms <YOUR DOMAIN>
    KrbServiceName HTTP/<service hos name>
    Krb5Keytab /etc/apache2/<filename>.keytab
    KrbMethodNegotiate on
    KrbMethodK5Passwd on
    require valid-user
</Directory>

一旦你有了这个，浏览器将能够以本地用户 SSO 方式登录（如果你相应地配置了浏览器）。如果他们不是本地用户，他们将获得接受 AD 凭据的基本登录提示。

对于我来说，使用 DokuWikiauthad插件，这个设置运行得很好。我不知道它是否适用于 Media Wiki，但 Apache / Kerberos Stuff 对很多事情来说确实很好。希望它能有所帮助！

Question 2

在破解了 LdapAuthentication（2.0d 版）MediaWiki 扩展并引入了自己的断点后，我找到了问题所在。事实证明，只有在调用ldap_connect()类似这样的 PHP 后，才能通过 SSL 绑定到我的 AD 服务器，

ldap_connect("myserver.com", 636);

而不是，

ldap_connect("ldaps://myserver.com:636");

LdapAuthenticate 坚持这一点。

ldap_connect()我还注意到 LdapAuthenticate通过以下方式包装 PHP ，

public static function ldap_connect( $hostname=null, $port=389 ) {
    wfSuppressWarnings();
    $ret = ldap_connect( $hostname, $port );
    wfRestoreWarnings();
    return $ret;
}

但随后只会$hostname以 URI 格式传入，格式如下：

ldapi://myserver.com:port
ldap://myserver.com:port
ldaps://myserver.com:port

保留$port其默认值389。这意味着，假设您尝试通过 SSL 进行绑定，对 PHP 的实际调用ldap_connect()如下所示，

ldap_connect("ldaps://myserver.com:636", 389);

这肯定会引起一些问题！

我认为这可能是 LdapAuthenticate 中的一个错误，但也可能只是我完全误解了 PHP（已经有一段时间了）。无论如何，我设法通过破解 LdapAuthenticate 来强制调用，从而使身份验证正常工作，

ldap_connect("myserver.com", 636);

然而，这确实留下了一个未解答的问题。为什么我的 AD 服务器很乐意接受绑定到myserver.com，但不能绑定到ldaps://myserver.com？（我已经确认在 Windows 上使用就是这种情况ldp.exe）。我怀疑这是一个 DNS 问题，因为myserver.com实际上是根据我本地 DNS 服务器上的记录处理的（我可能确实错过了一个技巧！）我会在其他地方问另一个问题！

Answer