Настройка LDAPS
При использовании LDAPS необходимо указа�ть протокол «ldaps://» в начале имени хоста и порт «636», например: ldaps://passwork.local:636
Для работы LDAPS сервер Пассворк должен доверять сертификатам CA, выпустившего сертификат LDAPS-сервера.
Установка сертификатов:
Сертификаты должны иметь расширение .crt
Ubuntu/Debian
Для Astra Linux дополнительно выполнить установку пакета:
apt install libldap-common -y
Поместить в директорию сертификат LDAPS-сервера:
cp ldap_certificate.crt /usr/local/share/ca-certificates/
Обновить хранилище сертификатов:
sudo update-ca-certificates
CentOS
Разрешить динамическое конфигурирование хранилища сертификатов:
update-ca-trust force-enable
Поместить сертификат LDAPS-сервера в директорию /etc/pki/ca-trust/source/anchors/:
cp ldap_certificate.crt /etc/pki/ca-trust/source/anchors/
Обновить хранилище сертификатов:
sudo update-ca-certificates
Docker
Для добавления корневого сертификата LDAPS в доверенные, необходимо скопировать сертификат .pem или .crt в директорию ./conf/custom_ca и перезапустить контейнер PHP:
docker restart passwork_php
Windows
Воспользоваться разделом Добавление LDAPS сертификата в Windows.
Отладка LDAPS
Чтобы протестировать возможные проблемы с сертификатами во время соединения, выполнить следующую команду:
openssl s_client -connect dc1.local:636 -showcerts
Чтобы верифицировать сертификаты, выполнить следующую команду:
openssl verify -CAfile RootCert.pem -untrusted Intermediate.pem UserCert.pem
С помощью директивы -CAfile необходимо прописать CA сертификат, выпустившего сертификат сервера LDAPS.
С помощью директивы -untrusted необходимо указать LDAPS сертификат сервера и сертификаты промежуточных серверов в цепочке (если промежуточные сертификаты существуют).