Uwierzytelnianie w PHP przy użyciu LDAP poprzez Active Directory

Można by pomyśleć, że samo uwierzytelnianie użytkownika w Active Directory byłoby dość prostym procesem wykorzystującym LDAP w PHP bez potrzeby korzystania z biblioteki. Ale jest wiele rzeczy, które mogą to bardzo szybko skomplikować:

• musisz zweryfikować dane wejściowe. Pusta nazwa użytkownika/hasło przejdzie w przeciwnym razie.
• Należy upewnić się, że nazwa użytkownika/hasło jest prawidłowo zakodowane podczas wiązania.
• powinieneś szyfrować połączenie za pomocą protokołu TLS.
• Używanie oddzielnego LDAP serwery do redundancji w przypadku awarii jednego z nich.
• otrzymywanie Komunikatu o błędzie informacyjnym w przypadku niepowodzenia uwierzytelniania.

W większości przypadków łatwiej jest użyć biblioteki LDAP obsługującej powyższe. Ostatecznie skończyłem z uruchomieniem własnej biblioteki, która obsługuje wszystkie powyższe punkty: LdapTools (cóż, nie tylko do uwierzytelniania, może zrobić znacznie więcej). Można go używać w następujący sposób:

use LdapTools\Configuration;
use LdapTools\DomainConfiguration;
use LdapTools\LdapManager;

$domain = (new DomainConfiguration('example.com'))
    ->setUsername('username') # A separate AD service account used by your app
    ->setPassword('password')
    ->setServers(['dc1', 'dc2', 'dc3'])
    ->setUseTls(true);
$config = new Configuration($domain);
$ldap = new LdapManager($config);

if (!$ldap->authenticate($username, $password, $message)) {
    echo "Error: $message";
} else {
    // Do something...
}

Powyższe wywołanie uwierzytelniające będzie:

• potwierdź, że ani nazwa użytkownika lub hasło jest puste.
• Upewnij się, że nazwa użytkownika/hasło jest poprawnie zakodowane (domyślnie UTF-8)
• Wypróbuj Alternatywny serwer LDAP na wypadek, gdyby jeden z nich nie działał.
• Zaszyfruj żądanie uwierzytelnienia za pomocą protokołu TLS.
• podaj dodatkowe informacje, jeśli się nie powiodło (tj. zablokowane / wyłączone konto itp.)

Istnieją również inne biblioteki, które mogą to zrobić (takie jak Adldap2). Jednak czułem się zmuszony do podania dodatkowych informacji, ponieważ najbardziej głosowana odpowiedź jest w rzeczywistości ryzyko bezpieczeństwa, na którym można polegać bez walidacji danych wejściowych i bez korzystania z TLS.

Robię to po prostu przekazując poświadczenia użytkownika do ldap_bind ().

Http://php.net/manual/en/function.ldap-bind.php

Jeśli konto może wiązać się z LDAP, jest ważne; jeśli nie, nie jest. Jeśli wszystko, co robisz, to uwierzytelnianie (nie Zarządzanie kontem), nie widzę potrzeby korzystania z biblioteki.

Lubię klasę Zend_ldap, możesz używać tylko tej klasy w swoim projekcie, bez Zend Framework.

PHP posiada biblioteki: http://ca.php.net/ldap

Gruszka posiada również kilka pakietów: http://pear.php.net/search.php?q=ldap&in=packages&x=0&y=0

Ja też nie używałem, ale miałem zamiar w pewnym momencie i wydawało się, że powinny działać.

Dla tych, którzy szukają pełnego przykładu sprawdź http://www.exchangecore.com/blog/how-use-ldap-active-directory-authentication-php/.

Przetestowałem to podłączanie do kontrolerów domeny Windows Server 2003 i Windows Server 2008 R2 z serwera www Windows Server 2003 (IIS6) oraz z systemu Windows server 2012 enterprise z systemem IIS 8.