Да там есть одна засада, привожу кусок кода из config-itop.php в качестве пример как надо сделать.
'authent-ldap' => array (
'host' => '<полное имя домен-контроллера в виде name.domain.tld>',
'port' => 389,
'default_user' => '<domain\user>', \\ А вот тут - сокращенное имя домена!
'default_pwd' => '<password>',
'base_dn' => 'DC=domain,DC=tld',
'user_query' => '(&(samaccountname=%1$s))', \\ Тут тоже надо убрать лишнее
'options' => array (
17 => 3,
8 => 0,
),
'start_tls' => false,
'debug' => false,
),
Вообщем ключевых момента два - использовать в качестве имени пользователя для доступа к LDAP нотацию domainname\username, а не просто username как можно подумать исходя из документации и два - убрать все лишнее из user_query, приведя ее к виду как выше, а не как в примерах.
Ну и указать два домен-контроллера у меня не получилось - если указывать как в документации. через пробел, то ничего не работает.