DMZ 服务器上的 ISAPI 过滤器 LDAP 身份验证错误

Question

我正在为我们在 DMZ 中运行的 Web 服务器编写 ISAPI 过滤器。此 ISAPI 过滤器需要连接到我们的内部域控制器以针对 Active Directory 进行身份验证。防火墙中有一条规则允许从 DMZ 服务器到我们的域控制器的 636 端口上的流量，并且防火墙显示流量可以正常通过。问题在于ldap_connect() 函数。尝试建立连接时出现错误0x51 Server Down。我们使用域控制器 IP 地址而不是 DNS 名称，因为 Web 服务器位于域之外。

ISAPI LDAP 连接代码：

// Set search criteria
strcpy(search, "(sAMAccountName=");
strcat(search, username);
strcat(search, ")");

// Set timeout
time.tv_sec = 30;
time.tv_usec = 30;

// Setup user authentication
AuthId.User = (unsigned char *) username;
AuthId.UserLength = strlen(username);
AuthId.Password = (unsigned char *) password;
AuthId.PasswordLength = strlen(password);
AuthId.Domain = (unsigned char *) domain;
AuthId.DomainLength = strlen(domain);
AuthId.Flags = SEC_WINNT_AUTH_IDENTITY_ANSI;

// Initialize LDAP connection
ldap = ldap_sslinit(servers, LDAP_SSL_PORT, 1);

if (ldap != NULL)
{
    // Set LDAP options
    ldap_set_option(ldap, LDAP_OPT_PROTOCOL_VERSION, (void *) &version);
    ldap_set_option(ldap, LDAP_OPT_SSL, LDAP_OPT_ON);

    // Make the connection
    //
    // FAILS HERE!
    //
    ldap_response = ldap_connect(ldap, &time);

    if (ldap_response == LDAP_SUCCESS)
    {
        // Bind to LDAP connection
        ldap_response = ldap_bind_s(ldap, (PCHAR) AuthId.User, (PCHAR) &AuthId, LDAP_AUTH_NTLM);
    }
}

// Unbind LDAP connection if LDAP is established
if (ldap != NULL)
    ldap_unbind(ldap);

// Return string
return valid_user;

servers = <DC IP Address>

我已经在与 AD 位于同一域内的本地计算机上测试了此代码，并且它在 LDAP 和基于 SSL 的 LDAP 中都有效。我们在域控制器上安装了来自 Active Directory 注册策略的服务器证书，但我在其他地方读到我可能还需要安装客户端证书（用于我们的 Web 服务器）。这是真的？

此外，我们有一个单独的 wordpress 站点运行在同一个 DMZ 网络服务器上，它通过 SSL 连接到 LDAP 就好了。它通过 PHP 使用 OpenLDAP 进行连接，并使用我们的域控制器的 IP 地址进行连接。我们有一个 ldap.conf 文件，其中包含一行代码：TLS_REQCERT never。有没有办法在 Visual C 中用我正在尝试为 ISAPI 过滤器做的事情来模仿这种效果？希望这是一个编程问题，而不是证书问题。如果这超出了编程范围，请告诉我或将我重定向到更好的地方发布此内容。

谢谢！

Answer 1

通过将 CA 添加到 Web 服务器上的证书存储区解决了该问题。 CA 以前从未被复制过。