Uwierzytelnianie w PHP przy użyciu LDAP przez Active Directory

Szukam sposobu na uwierzytelnianie użytkowników przez LDAP z PHP (z usługą Active Directory jako dostawcą). Najlepiej byłoby, gdyby mógł działać w IIS 7 ( adLDAP robi to na Apache). Czy ktoś zrobił coś podobnego i odniósł sukces?

• Edycja: wolałbym bibliotekę / klasę z kodem, który jest gotowy do użycia ... Byłoby głupio wymyślać koło, gdy ktoś już to zrobił.

Importowanie całej biblioteki wydaje się nieefektywne, gdy wszystko, czego potrzebujesz, to zasadniczo dwa wiersze kodu ...

$ldap = ldap_connect("ldap.example.com");
if ($bind = ldap_bind($ldap, $_POST['username'], $_POST['password'])) {
  // log them in!
} else {
  // error message
}

Można by pomyśleć, że zwykłe uwierzytelnienie użytkownika w Active Directory byłoby dość prostym procesem przy użyciu LDAP w PHP bez potrzeby korzystania z biblioteki. Ale jest wiele rzeczy, które mogą to dość szybko skomplikować:

• Musisz zweryfikować dane wejściowe. W przeciwnym razie zostanie przesłana pusta nazwa użytkownika / hasło.
• Powinieneś upewnić się, że nazwa użytkownika / hasło są poprawnie zakodowane podczas wiązania.
• Powinieneś szyfrować połączenie za pomocą TLS.
• Używanie oddzielnych serwerów LDAP w celu zapewnienia nadmiarowości w przypadku awarii jednego z nich.
• Otrzymywanie informacyjnego komunikatu o błędzie, jeśli uwierzytelnianie nie powiedzie się.

W większości przypadków łatwiej jest skorzystać z biblioteki LDAP obsługującej powyższe. Ostatecznie skończyło się na utworzeniu własnej biblioteki, która obsługuje wszystkie powyższe punkty: LdapTools (Cóż, nie tylko do uwierzytelniania, może zrobić znacznie więcej). Można go używać w następujący sposób:

use LdapTools\Configuration;
use LdapTools\DomainConfiguration;
use LdapTools\LdapManager;

$domain = (new DomainConfiguration('example.com'))
    ->setUsername('username') # A separate AD service account used by your app
    ->setPassword('password')
    ->setServers(['dc1', 'dc2', 'dc3'])
    ->setUseTls(true);
$config = new Configuration($domain);
$ldap = new LdapManager($config);

if (!$ldap->authenticate($username, $password, $message)) {
    echo "Error: $message";
} else {
    // Do something...
}

Powyższe wywołanie uwierzytelniające:

• Sprawdź, czy nazwa użytkownika ani hasło nie są puste.
• Upewnij się, że nazwa użytkownika / hasło są poprawnie zakodowane (domyślnie UTF-8)
• Wypróbuj alternatywny serwer LDAP na wypadek awarii jednego z nich.
• Zaszyfruj żądanie uwierzytelnienia za pomocą TLS.
• Podaj dodatkowe informacje, jeśli się nie powiedzie (np. Zablokowane / wyłączone konto itp.)

Istnieją inne biblioteki, które również to robią (takie jak Adldap2). Czułem się jednak na tyle zmuszony, aby podać dodatkowe informacje, ponieważ najbardziej głosowana odpowiedź jest w rzeczywistości zagrożeniem bezpieczeństwa, na którym można polegać, bez przeprowadzania weryfikacji danych wejściowych i bez korzystania z TLS.

Robię to po prostu przekazując poświadczenia użytkownika do ldap_bind ().

http://php.net/manual/en/function.ldap-bind.php

Jeśli konto można powiązać z LDAP, jest prawidłowe; jeśli nie może, nie jest. Jeśli wszystko, co robisz, to uwierzytelnianie (nie zarządzanie kontem), nie widzę potrzeby posiadania biblioteki.

Podoba mi się klasa Zend_Ldap , możesz używać tylko tej klasy w swoim projekcie, bez Zend Framework.

PHP ma biblioteki: http://ca.php.net/ldap

PEAR ma również szereg pakietów: http://pear.php.net/search.php?q=ldap&in=packages&x=0&y=0

Ja też nie korzystałem, ale w pewnym momencie miałem zamiar i wydawało się, że powinny działać.

Dla tych, którzy szukają pełnego przykładu, odwiedź http://www.exchangecore.com/blog/how-use-ldap-active-directory-authentication-php/ .

Przetestowałem to łączenie się z kontrolerami domeny Windows Server 2003 i Windows Server 2008 R2 z serwera sieci Web systemu Windows Server 2003 (IIS6) i przedsiębiorstwa z systemem Windows Server 2012 z usługami IIS 8.