Authentifizierung über LDAPS (Port 636) möglich?

[SDVADM]

Hallo,
im neuen phpbb 3.0 ist ja nun auch eine LDAP-Authentifizierung mit eingebaut. Leider kann man hier keinen Port angeben. Wir haben bei uns LDAPS aktiv und verwenden deshalb den Port 636.
Gibt es eine Möglichkeit phpbb 3.0 so zu ändern, dass die Authentifizierung bei uns einwandfrei klappt? Bisher habe ich nämlich erfolglos versucht den Port zu ändern...

Vielen Dank für Eure Hilfe schon mal.

Gruß,
SDVADM

[Dr.Death]

In der Datei
includes/auth/auth_ldap.php wird nirgendwo ein Port übergeben.

Eine testverbindung wird dort so durchgeführt:

Code: Alles auswählen

if (!($ldap = @ldap_connect($config['ldap_server'])))

Daher gehe ich davon aus, das man bei der Angabe des LDAP Servers per Doppelpunkt den Port anhängen kann.

Beispiel:

LPAP Servername = mein_ldap_servername:636

[SDVADM]

Die von Dir genannte Zeile (Zeile 31) habe ich so abgeändert:

Code: Alles auswählen

if (!($ldap = @ldap_connect($config['ldap_server'],$port)))

Die Variable $port habe ich bereits vorher den Wert 636 zugewiesen.
Zusätzlich habe ich noch Zeile 99 den Port mit angegeben.

Aber leider kriege ich noch keinen connect hin

Gruß,
SDVADM

[bantu]

Die Syntax von ldap_connect() stimmt soweit mit dem Port.

Bei sicherer Verbindung muss die Host-Variable scheinbar einen Wert in der Form

Code: Alles auswählen

ldaps://host.domain.tld/

annehmen.

siehe dazu http://www.phpcenter.de/de-html-manual/ ... nnect.html

[daretta]

Hallo,

ich habe hier noch phpBB 3.0.B5 im Einsatz.

Die LDAP Schnittstelle nutze ich schon seit ca. 2 Monaten. Nach der Installation habe ich auch getestet ob alles richtig funktioniert:

Gültiger Username und richtiges Passwort -> User darf rein
Gültiger Username und falsches Passwort -> User darf nicht rein
Ungültiger Username und Passwort -> User darf nicht rein

So weit so gut. Jetzt der Hammer. Heute hat jemand herausgefunden dass die Kombination

Gültiger Username und KEIN Passwort -> User darf rein

ergibt.

HILFE !!!!

Das System hat also einen kritischen Security Bug. Kennt den schon jemand? Ist das bei RC2 behoben???

Ich bin dankbar für jeden Hinweis.

[bantu]

Am besten wird sein, du setzt schnell ein neues RC2 auf und testest es. Sollte Fehler weiter bestehen poste es in den Security Tracker.
http://www.phpbb.com/security/phpbb3/tickets.php

[daretta]

Am besten wird sein, du setzt schnell ein neues RC2 auf und testest es. Sollte Fehler weiter bestehen poste es in den Security Tracker.
http://www.phpbb.com/security/phpbb3/tickets.php

Danke für die schnelle Antwort. Eigentlich wollte ich das Upgrade auf RC2 in Ruhe vorher testen. Jetzt muss ich mich beeilen.

Ist das Update unkritisch? Ich hab' gelesen, dass es hier zu Problemen kommen kann.

[bantu]

Danke für die schnelle Antwort. Eigentlich wollte ich das Upgrade auf RC2 in Ruhe vorher testen. Jetzt muss ich mich beeilen.

Ist das Update unkritisch? Ich hab' gelesen, dass es hier zu Problemen kommen kann.

Es gibt wie du sicher schon weist kein Paket für Beta -> RC Update. Das bedeutet du bist auf dich allein gestellt und es könnte teilweise knifflig werden.

Deshalb halte ich es für das beste, wenn du ein neues RC2 parallel zum alten installierst und testest ob der Bug noch drin ist. Wenn er noch drin ist, bringt dir ein Update auf RC2 nämlich auch nix.

[daretta]

ich hab das jetzt mal notdürftig selbst geflickt in der UCP.php:

Code: Alles auswählen

if ($mode == 'login')
{
if ($_POST['password'] == '') {die();}
}