Настроили авторизацию пользователей из нескольких доменов windows через ldap. Но пароли между порталом и ldap серверами ходят в открытом виде , можно ли настроить Битрикс на работу через ldaps ?
PS удалось кому нибудь настроить SSO в мультидоменной среде ?
Соответственно вопрос - как настроить (коробка)? Попробовал просто переключить dropdown-menu Тип подключения => SSL, автоматически ldap поменялось на ldaps и порт с 389 на 636. Жму "проверить" - выдаёт ошибку:
Скрытый текст
При этом telnet srv-ad-02 636 - подключается, из чего следует что в принципе на этом порту что-то есть и фаервол не блокирует соединение.
Как понять на чьей стороне ошибка: 1. настройки внутри битрикса? 2. настройки виртуальной машины хостящей битрикс? 3. или надо на контроллере домена что-то ковырять?
А как его в битрикс добавить? Центр сертификации у меня есть, насколько я понимаю этот центр сертификации должен: 1. выдать сертификат на линух, хостящий битрикс 2. сам линух, хостящий битрикс, должен доверять этому центру сертификации Т.е. если я всё правильно описал то на битрикс надо загрузить два сертификата, верно? Судя по обсуждению вопроса на SO - сертификат выданный на битрикс (клиента) надо положить в /etc/ssl/certs/ca-certificates.crt и сослаться на него в ldap.conf строкой TLS_CACERT /etc/ssl/certs/ca-certificates.crt Но ведь битрикс не будет доверять центру выдачи этого сертификата (которым должен быть не битрикс), а надо чтоб доверял. Как это сделать?
Кстати, техподдержка битрикса вообще скопипастила пример #1 отсюда https://www.php.net/manual/ru/function.ldap-bind.php и сказала "так скрипт подключиться не может значит у вас ldap-сервер не настроен". Профессионально, однако.