Sono anni che mi riprometto di provare questa tecnologia che fa tutto e niente in stile molto enterprise decisamente sconsigliata per chi preferisce mantenere un minimo di sanità mentale.
Il protocollo LDAP è una sorta di database tuttofare orientato alle cartelle attraverso il quale si può non solo gestire l’autenticazione degli utenti ma anche l’agenda dei contatti dei più diffusi programmi di posta elettronica, oppure le configurazioni dei programmi in modo da avere allo stesso tempo tutte le informazioni centralizzate (condividendo ad esempio gli stessi dati di autenticazione degli utenti tra più servizi) ma anche distribuite poiché il database è facilmente replicabile su varie macchine.
Una volta installato OpenLDAP, il gioco non è assolutamente fatto.
Sì, perché gli sviluppatori hanno avuto la geniale idea di iniziare ad usare lo stesso database LDAP per configurare il server LDAP deprecando il file di configurazione /etc/openldap/slapd.conf. Che siano maledetti dal Dio della ricorsività! 
Fortunatamente se si configura il file e si da il comando:
-
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
vengono convertite automaticamente le impostazioni nel formato LDIF così da poter avviare il server con il nuovo sistema di configurazione dinamica (che dovrebbe essere modificabile a runtime con i comandi ldapmodify e ldapadd, ma non ho provato). Non sono riuscito a capire perché non funziona se si segue la guida invece di fare questa conversione… Mah…
Se si ha la malsana idea di voler attivare il supporto al TLS nelle comunicazioni, è necessario assicurarsi che il certificato della CA sia valido e ovviamente presente nella cartella specificata da (ocl)TLSCACertificatePath e TLS_CACERTDIR rispettivamente nella configurazione del server e del client. In questo caso bisogna anche aggiungere in ldap.conf l’opzione
-
TLS_REQCERT never
così da far accettare la connessione dalle funzioni nel php pur se compare l’errore “Unknow CA” ed utilizzare quindi phpLDAPadmin.
Tags: guide, ldap, linux, sicurezza