Аутентификация в PHP с использованием LDAP через Active Directory

Question

Я ищу способ аутентификации пользователей через LDAP с помощью PHP (с использованием Active Directory как поставщика). В идеале, он должен иметь возможность запускать на IIS 7 (adLDAP делает это на Apache). Кто-нибудь сделал что-то подобное, с успехом?

• Редактировать: Я бы предпочел библиотеку/класс с кодом, который готов к работе ... Было бы глупо изобретать колесо, когда кто-то уже это сделал.

Answer 1

Импорт целую библиотеку кажется неэффективным, когда все, что вам нужно, это по существу две строки кода ...

$ldap = ldap_connect("ldap.example.com"); 
if ($bind = ldap_bind($ldap, $_POST['username'], $_POST['password'])) { 
    // log them in! 
} else { 
    // error message 
} 

Answer 2

PHP имеет библиотеки: http://ca.php.net/ldap

PEAR также имеет целый ряд пакетов: http://pear.php.net/search.php?q=ldap&in=packages&x=0&y=0

Я не использовал ни, но я собирался в одной точке, и они, казалось, что они должны работать ,

Answer 3

Мне нравится Класс, вы можете использовать только этот класс в своем проекте без Zend Framework.

Answer 4

Я делаю это просто передавая учетные данные пользователя ldap_bind().

http://php.net/manual/en/function.ldap-bind.php

Если учетная запись может связываться с LDAP, она действует; если он не может, это не так. Если все, что вы делаете, это аутентификация (не управление учетной записью), я не вижу необходимости в библиотеке.

Answer 5

Для тех, кто ищет полный пример проверить http://www.exchangecore.com/blog/how-use-ldap-active-directory-authentication-php/.

Я испытал это подключение как к Windows Server 2003 и Windows Server 2008 R2 контроллеры домена с Server 2003 Web Server Windows (IIS6) и из окна сервера 2012 предприятие работает IIS 8.

Answer 6

Можно было бы подумать, что просто аутентификация пользователя в Active Directory была бы довольно простым процессом с использованием LDAP на PHP без необходимости в библиотеке. Но есть много вещей, которые могут усложнить его довольно быстро:

• Вы должны подтвердить ввод. Пустое имя пользователя/пароль будет проходить иначе.
• Вы должны убедиться, что имя пользователя/пароль правильно закодированы при привязке.
• Вы должны шифровать соединение с помощью TLS.
• Использование отдельных серверов LDAP для резервирования в случае отказа.
• Получение информационного сообщения об ошибке, если аутентификация завершается с ошибкой.

В большинстве случаев проще использовать библиотеку LDAP, поддерживающую вышеуказанное. В конечном итоге я закончил свою собственную библиотеку, которая обрабатывает все вышеперечисленные моменты: LdapTools (Ну, не только для аутентификации, это может сделать гораздо больше).Он может быть использован как в следующем:

use LdapTools\Configuration; 
use LdapTools\DomainConfiguration; 
use LdapTools\LdapManager; 

$domain = (new DomainConfiguration('example.com')) 
    ->setUsername('username') # A separate AD service account used by your app 
    ->setPassword('password') 
    ->setServers(['dc1', 'dc2', 'dc3']) 
    ->setUseTls(true); 
$config = new Configuration($domain); 
$ldap = new LdapManager($config); 

if (!$ldap->authenticate($username, $password, $message)) { 
    echo "Error: $message"; 
} else { 
    // Do something... 
} 

Проверять подлинность вызова выше будет:

• Validate, что ни имя пользователя или пароль пуст.
• Убедитесь, что имя пользователя/пароль правильно закодировано (UTF-8 по умолчанию)
• Попробуйте использовать альтернативный сервер LDAP в случае, если один из них выключен.
• Шифровать запрос аутентификации с использованием TLS.
• Предоставить дополнительную информацию, если она не удалась (то есть. Заперто/отключенная учетная запись, и т.д.)

Есть другие библиотеки, чтобы сделать это тоже (Такие, как Adldap2). Тем не менее, я чувствовал себя достаточно уверенным, чтобы предоставить дополнительную информацию, поскольку самый опротестованный ответ на самом деле представляет собой угрозу безопасности, на которую можно положиться, без проверки ввода и использования TLS.