Postfix Транспорт

PhP авторизация через LDAP

Возникла у меня необходимость в аутентификации через LDAP, да еще и в PhP реализации. Основными условиями было проверка логина и пароля пользователя, плюс он должен был быть в определенной группе в AD. Если оба условия выполняются, то дается доступ к определенному контенту. Вот к чему я пришел:

Первый файл, будет у нас с настройки — ldap.php :

Теперь, сам скрипт Аутентификации — auth.php :

 > //Если пользователь уже аутентифицирован, то перебросить его на страницу main.php if (isset($_SESSION['user_id'])) < header('Location: main.php'); exit; >//Если пользователь не аутентифицирован, то проверить его используя LDAP if (isset($_POST['login']) && isset($_POST['password'])) < $username = $_POST['login']; $login = $_POST['login'].$domain; $password = $_POST['password']; //подсоединяемся к LDAP серверу $ldap = ldap_connect($ldaphost,$ldapport) or die("Cant connect to LDAP Server"); //Включаем LDAP протокол версии 3 ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION, 3); if ($ldap) < // Пытаемся войти в LDAP при помощи введенных логина и пароля $bind = ldap_bind($ldap,$login,$password); if ($bind) < // Проверим, является ли пользователь членом указанной группы. $result = ldap_search($ldap,$base,"(&(memberOf=".$memberof.")(".$filter.$username."))"); // Получаем количество результатов предыдущей проверки $result_ent = ldap_get_entries($ldap,$result); >else < die('Вы ввели неправильный логин или пароль. попробуйте еще раз
Вернуться назад'); > > // Если пользователь найден, то пропускаем его дальше и перебрасываем на main.php if ($result_ent['count'] != 0) < $_SESSION['user_id'] = $login; header('Location: main.php'); exit; >else < die('К сожалению, вам доступ закрыт
Вернуться назад'); > > ?>

И собственно говоря стартовый index.php :

 //Хидер     
Имя:
Пароль:
'; echo "

Для авторизации необходимы ваши учетные данные

"; ?>

Вот собственно и все, теперь перейдем к некоторым тонкостям, для того, что бы данная аутентификация работала вам в обязательном порядке необходимо в начале каждого файла вставить session_start();
А так же, все то, что пользователь должен увидеть только пройдя аутентификацию, должно быть заключено в

Читайте также:  Php ajax ответ json

Источник

PHP on Linux authenticate users with a Windows Server Active Directory

A common request when building INTRANET web applications is to have users use only one common shared set of login credentials. Typically in most small and medium businesses this means that logging into a Windows Server of some kind to access the network. Windows Servers use Active Directory (AD) ,which is basically Microsoft’s glorified LDAP server with a slew of additional features needed for coroporate and enterprise users. We can leverage this by using PHP’s LDAP module to perform the login check for us..

IF you’re building your application in PHP a very easy way to do this is simply to use PHPs LDAP library and then simply call with the proper functions. Let’s detail the steps below. I’ll be doing this from a PHP 5 , Debian installation.

LDAP tends to be tied into the Windows AD Domain Name System to allow integrated quick lookups and fast resolution of queries. LDAP generally runs on port 389 and like other protocols tends to usually conform to a distinct set of rules (RFC’s).

Step 1. Get the LDAP information (LDAP Connection URL) from your Windows Active Directory.

First we need to verify which Windows Active directory we will be authenticating against. If your in a very large corporate environment, you may need the help of an SA (System administrator) to help guide you. Basically, the first thing you need is to know is the Domain which this users is associated with.

Essetially you need to figure out with the LDAP Connection URL is , and this requires a bit more information about how the Windows Network is configured, Typically its something like ,

CN=Users,DC=corp,DC=domain,DC=local

then you wold combine this with the URL of the Windows AD server

LDAP://dc1.corp.domain.com/ or LDAP://10.0.1.3/

To query for a particular user. If you have accesss to the Windows Server form the command line run.

C:\Users\Administrator> dsquery user -name To* "CN=Tony Jones,CN=Users,DC=Domain,DC=local" "CN=Tony Smith,CN=Users,DC=Domain,DC=local"

Alternatively from the Windows server desktop try

Active directory server -> Choose the Organization Unit OU -> Right Click -> Properties -> AttributeEditor -> DistinguishedName

The above information is necessary so you can fill in the details of the PHP script below.

Step 2. Verify PHP LDAP Library installed and enabled.

You can do this by running a simple viewing the PHP info to see which loaded modules are currently available on your server.

Create a simple PHP file on your web server , call it test.php or something like that. When you run it it will display all the information that PHP /Apache has configured.

Run that file from your browser http://localhost/test.php and search for an entry like LDAP (Typically midway down the page between JSON and LIBXML ), if you see something like the screen below.

PHP info showing LDAP module is enabled.

If you do not see this enabled, then you may want to have it added to your PHP/Apache server . The simplest way if you have a typical Debian Linux access to your server’s shell is to run the command. For other flavors of Linux like Redhat/Centos a similar yum command should be available.

sudo apt-get install php5-ldap
sudo apt-get install php-ldap

The command should install the necessary library and restart the server, once again re-test that it’s enabled by running the above test.php and confirming the LDAP module is correctly loaded.

Step 3. Test PHP Login against Windows AD

Finally Upload this test LDAP script to your server and save it as ldap.php (or similar name) which does the follow…

  • Usig the supplied LDAP information , don’t forget to REPLACE the DOMAIN_FQDN and LDAP_SERVER define with your actual credentials
  • Takes the user supplied username and password and
  • Issues an LDAP bind to see if that’s a valid user
  • You get back either a True or False from the AD and you can proceed from there.
 elseif ($bind) < //determine the LDAP Path from Active Directory details $base_dn = array("CN=Users,DC=". join(',DC=', explode('.', DOMAIN_FQDN)), "OU=Users,OU=People,DC=". join(',DC=', explode('.', DOMAIN_FQDN))); $result = ldap_search(array($conn,$conn), $base_dn, "(cn=*)"); if (!count($result)) $err = 'Result: '. ldap_error($conn); else < echo "Success"; /* Do your post login code here */ >> > // session OK, redirect to home page if (isset($_SESSION['redir'])) < header('Location: /'); exit(); >elseif (!isset($err)) $err = 'Result: '. ldap_error($conn); ldap_close($conn); > ?>     

Login

'; ?> Password:
'. $err .'
Login:

Security Considerations:

By default, LDAP traffic is transmitted unsecured; this may or may not be a concern in an Intranet setting, for maximum safety use SSL technology to encrypt the traffic. Also most Windows Server AD will LOCK the account after n unsuccessful re-tries so be aware of this when testing your PHP login script.

Hopefully this will provide an easy way to integrate your PHP scripts with your INTRANET servers, making it easier to keep manage user accounts and access from one spot.

11 thoughts on “ PHP on Linux authenticate users with a Windows Server Active Directory ”

Thanks, this works far better than any other process I’ve seen and takes far less configuration. Obviously we need to set up sessions with this but this is a great starting point. I should note on line 80 you are missing a closing bracket.

Is any option to check if user can login or what kind of user we have – without getting username and password? By using some “server variable”, “server user id”, “server user login”, “server user fingerprint”? Our goal is that when user is opening website on localhost we know that this in “Mark Twain” ex. and we have nice screen for him – without username and password.

I think you should be able to query the ACTIVE Directory server as to USER ATTRIBUTES, this does require that the folks that created the account properly assigned those attributes. Take a look here at some attributes available on active driectory http://www.kouti.com/tables/userattributes.htm . Once you have gotten the attribute for a user then you can decide what to show. I know most companies don’t add any extra attributes, besides maybe the department or description , maybe you can key off those two.?

Similar to the commend about a missing bracket on line 80…The code is missing a closing angle bracket for the tr tag (>) on line 85. Maybe it was originally line 80 and is now line 85.

Источник

backnet — ответы на простые вопросы и не очень

Иногда, для корпоративных порталов, актуально не заводить отдельный список пользователей, а производить авторизацию через контроллер доменов. Для этого в PHP есть набор специальных функций Облегчённый протокол доступа к каталогам (LDAP). В принципе там все написано, но рассмотрим простой пример. Надеюсь это будет полезно для тех, кто не особо знаком с особенностями работы контроллера домена. Здесь не будем рассматривать то, как передавать информацию серверу, просто предположим, что в POST запросе прилетают имя пользователя (username) и пароль (password) Итак, код с комментариями: 1. Набор опций (конфиг, так сказать)

Если с хостом и портом в принципе все понятно, то я бы пояснил эти две непонятные строчки. Русские названия специально приведены т.к. в DC (domain controller) так вполне можно называть объекты. (в связи с этим на забываем про функцию iconv. Может пригодится. На этом этапе структуру DC можно рассматривать как набор папок с файлами в файловой системе. Папки вложены, и так формируется пути, которые мы видим. максимальная вложенность — слева. Теперь, как он строится: cn — это объект (файл). Пользователь, группа. ou — это папка, конечно все можно сложить с одну папку, но в большом хаосе обычно сложно ориентироваться. dc — имя домена. т.к. на одном сервере может быть несколько доменов. Корневая папка. т.е в этом примере мы будем авторизовывать пользователей, которые лежат в папке (и подпапках) «midomain.ru -> Пользователи» и принадлежат к группе «Портал», лежащей в папке «mydomain.ru -> Группы» Ну и последнее — sAMAccountName — имя пользователя до собачки (user@mydomain.ru) 2. И собственно набор функций и условий:

Источник

Оцените статью