Аутентификация в PHP с использованием LDAP через Active Directory
Я ищу способ аутентификации пользователей через LDAP с PHP (с Active Directory в качестве поставщика). В идеале он должен работать на IIS 7 (adLDAP делает это на Apache). Кто-нибудь сделал что-то подобное, и с успехом?
- Обновлено: я бы предпочел библиотеку / класс с кодом, готовым к работе ... Было бы глупо изобретать колесо, когда кто-то уже это сделал.
Ответы 6
В PHP есть библиотеки: http://ca.php.net/ldap
PEAR также имеет ряд пакетов: http://pear.php.net/search.php?q=ldap&in=packages&x=0&y=0
Я ни то, ни другое не использовал, но в какой-то момент собирался, и мне показалось, что они должны работать.
Мне нравится класс Zend_Ldap, вы можете использовать только этот класс в своем проекте без Zend Framework.
Я столкнулся с трудностями при реализации вышеизложенного, чтобы обнаружить, что это было для управления без аутентификации. Я собираюсь перейти на zend.auth.adapter.ldap
Я делаю это, просто передавая учетные данные пользователя в ldap_bind ().
http://php.net/manual/en/function.ldap-bind.php
Если учетная запись может быть привязана к LDAP, она действительна; если не может, то нет. Если все, что вы делаете, это аутентификация (а не управление учетной записью), я не вижу необходимости в библиотеке.
Импорт всей библиотеки кажется неэффективным, когда все, что вам нужно, это две строчки кода ...
$ldap = ldap_connect("ldap.example.com");
if ($bind = ldap_bind($ldap, $_POST['username'], $_POST['password'])) {
// log them in!
} else {
// error message
}
Некоторые установки AD успешно связываются, если предоставленный пароль пуст. Остерегайтесь этого! Возможно, вам потребуется убедиться, что пароль не пустой, перед попыткой аутентификации.
@diolemo Есть ли способ предотвратить это, не проверяя, пуст ли пароль?
@Neal Вы можете использовать ldap_set_option, чтобы заставить его вести себя по-другому. Возможно установка версии протокола? Придется поэкспериментировать. Я бы лично посоветовал вам в любом случае проверить пустой пароль на всякий случай.
@diolemo Я задал новый вопрос по этому поводу.
Анонимному редактору: нет, насколько мне известно, дезинфекция ввода здесь не требуется, поскольку ldap_bind будет обрабатывать ее, а специальные символы не являются проблемой.
Я предполагаю, что на сервере должно быть включено расширение php_ldap.dll.
@windowsuser: мне пришлось скопировать несколько dll в системный каталог, чтобы он заработал. Попробуйте это: wptidbits.com/webs/enable-php-ldap-module-in-xampp
Вы также можете использовать имя пользователя вместо имени пользователя для аутентификации: $binddn = "CN=Dummy User,CN=Users,DC=domain,DC=local";ldap_bind( $ldap,$binddn , $password );
Ядро Exchange написало прекрасную рабочую статью в блоге по этому поводу здесь: exchangecore.com/blog/…
Для тех, кто ищет полный пример, ознакомьтесь с http://www.exchangecore.com/blog/how-use-ldap-active-directory-authentication-php/.
Я протестировал это подключение к контроллерам домена Windows Server 2003 и Windows Server 2008 R2 с веб-сервера Windows Server 2003 (IIS6) и с предприятия Windows Server 2012 под управлением IIS 8.
Вы могли бы подумать, что простая аутентификация пользователя в Active Directory будет довольно простым процессом с использованием LDAP в PHP без необходимости в библиотеке. Но есть много вещей, которые могут очень быстро усложнить задачу:
- Вы должны подтвердить ввод. В противном случае прошло бы пустое имя пользователя / пароль.
- Вы должны убедиться, что имя пользователя / пароль правильно закодированы при привязке.
- Вы должны шифровать соединение с помощью TLS.
- Использование отдельных серверов LDAP для резервирования в случае отказа одного из них.
- Получение информативного сообщения об ошибке в случае сбоя аутентификации.
На самом деле в большинстве случаев проще использовать библиотеку LDAP, поддерживающую вышеуказанное. В конце концов, я создал свою собственную библиотеку, которая обрабатывает все вышеперечисленные пункты: LdapИнструменты (ну, не только для аутентификации, она может намного больше). Его можно использовать следующим образом:
use LdapTools\Configuration;
use LdapTools\DomainConfiguration;
use LdapTools\LdapManager;
$domain = (new DomainConfiguration('example.com'))
->setUsername('username') # A separate AD service account used by your app
->setPassword('password')
->setServers(['dc1', 'dc2', 'dc3'])
->setUseTls(true);
$config = new Configuration($domain);
$ldap = new LdapManager($config);
if (!$ldap->authenticate($username, $password, $message)) {
echo "Error: $message";
} else {
// Do something...
}
Вышеупомянутый вызов аутентификации:
- Убедитесь, что ни имя пользователя, ни пароль не пусты.
- Убедитесь, что имя пользователя и пароль правильно закодированы (по умолчанию UTF-8)
- Попробуйте использовать альтернативный сервер LDAP на случай, если один из них не работает.
- Зашифруйте запрос аутентификации с помощью TLS.
- Предоставьте дополнительную информацию в случае сбоя (например, заблокированная / отключенная учетная запись и т. д.)
Для этого есть и другие библиотеки (например, Adldap2). Тем не менее, я чувствовал себя достаточно вынужденным предоставить некоторую дополнительную информацию, поскольку ответ, получивший наибольшее количество голосов, на самом деле представляет собой угрозу безопасности, на которую можно полагаться без проверки ввода и без использования TLS.
Для соединений LDAP TLS устарел и заменен StartTLS: openldap.org/faq/data/cache/605.html.
@zenlord Использование формата ldaps:// для подключения устарело. В моем примере, когда вы указываете setUseTls(true), он использует формат ldap://, а затем выдает StartTLS с использованием ldap_start_tls($connection). Таким образом, сам TLS не устарел, просто подключается с помощью ldaps:// (который на самом деле подключается к LDAP через совершенно другой порт).
Думаю, в drupal есть модуль для этого