Wir haben Version 2.6.11 im Einsatz und es ist mir recht schnell gelungen, unseren AD-Server zwecks Authentifizierung anzusprechen, so weit so gut.
Hier die nahezu unveränderten Daten der conf/constants_ldap.php:
Wie gesagt, die Anmeldung an phpMyFAQ klappte auf Anhieb, allerdings nicht für alle Nutzer. Nach einer großangelegten Analyse der jeweiligen User-Daten fiel mir auf, dass es bei denjenigen Nutzern nicht klappte, deren Wert im Attribut displayName im AD nicht dem Attribut cn entsprach. Bei der großen Mehrheit der Nutzer sind diese beiden Attribute absolut wertgleich, nur bei einigen wenigen entspricht der Wert im Attribut displayName ihrem echten, vollen Namen. Ändert man diesen Wert auf den cn-Wert, klappt auch bei diesen Nutzern die Anmeldung sofort.// Datamapping - in this example for an ADS
$PMF_LDAP['ldap_mapping'] = array (
'name' => 'cn',
'username' => 'samAccountName',
'mail' => 'mail');
// In a multi-domain environment, users may enter a prefix as domain, e.g. "DOMAIN\username"
// If possible, you should use the Microsoft Glocal Catalog as LDAP-Server, which comes
// with every ADS-Installation.
$PMF_LDAP['ldap_use_domain_prefix'] = true;
// LDAP-options to set
// refer to the documentation of ldap_set_option() for information on available options
$PMF_LDAP["ldap_options"] = array (
LDAP_OPT_PROTOCOL_VERSION => 3,
LDAP_OPT_REFERRALS => 0 );
// Option for binding to LDAP directory using SASL
// Default: false
$PMF_LDAP['ldap_use_sasl'] = false;
Leider können wir aber nicht für alle Nutzer den Attributwert ändern, sondern müssen ihn so belassen, wie er ist.
Warum also ist der Wert des Attributs displayName von Bedeutung? Ich finde darauf keinen Hinweis in den Parametern und kann mir auch sonst keinen Reim darauf machen? Weiß irgendwer mehr?
Danke für eine Antwort & Gruß