GLPI项目与Windows Server 2022 AD域控LDAPS集成问题解析

问题背景

在GLPI 10.0.18版本与Windows Server 2022 Active Directory域控制器集成过程中，用户遇到了LDAPS(636端口)连接问题。具体表现为：

• 非加密的LDAP(389端口)连接工作正常
• 禁用绑定(binding)时LDAPS连接测试能通过
• 启用绑定后出现500错误
• 无法列出目录用户

环境配置

系统环境为：

• Windows Server 2022操作系统
• IIS 10.0 Web服务器
• PHP 8.3.17运行环境
• MySQL 8.0.41数据库
• 已正确配置php.ini中的curl.cainfo和openssl.cafile指向证书文件

错误现象

启用绑定后出现的主要错误包括：

1. PHP日志显示：

Unable to bind to LDAP server
error: Can't contact LDAP server (-1)
extended error: error:16000069:STORE routines::unregistered scheme

2. Windows事件日志显示：

LDAP over SSL连接无法建立
错误值：2148074278 收到的消息格式不正确
错误解密LDAP消息

问题分析

从错误信息可以判断，这是SSL/TLS加密通信层面的问题。具体表现为：

1. 当禁用绑定时，LDAPS测试能通过，说明基础网络连接和证书信任链没有问题
2. 启用绑定后失败，说明问题出在建立安全通道后的身份验证阶段
3. Windows事件日志中的"错误解密LDAP消息"表明加密通信可能被中断

解决方案

经过排查，发现需要将根证书以特定方式部署：

1. 获取AD域控制器的根证书，保存为PEM格式
2. 将证书文件重命名为"cert.pem"
3. 放置在系统目录：C:\Program Files\Common Files\SSL\
4. 重启IIS服务

技术原理

这个问题的本质是Windows系统下PHP的LDAP扩展在建立SSL连接时，需要正确找到并加载信任的根证书。虽然php.ini中已经配置了证书路径，但在某些情况下，LDAP扩展仍会依赖系统默认的证书存储位置。

最佳实践建议

对于GLPI与AD域控的LDAPS集成，建议：

1. 优先使用系统级的证书部署方案
2. 确保证书链完整，包括中间证书
3. 测试时先禁用绑定验证基础连接
4. 启用绑定前确认证书信任关系已建立
5. 考虑使用证书管理器工具验证证书安装是否正确

总结

GLPI与Windows Server 2022 AD域控的LDAPS集成需要特别注意证书部署的位置和方式。通过将根证书放置在系统指定位置并重启服务，可以解决绑定时的加密通信问题。这为企业在Windows环境下安全集成GLPI与Active Directory提供了可靠方案。