Autenticazione in PHP utilizzando LDAP tramite Active Directory

Sto cercando un modo per autenticare gli utenti tramite LDAP con PHP (con Active Directory come provider). Idealmente, dovrebbe essere in grado di funzionare su IIS 7 ( adLDAP lo fa su Apache). Qualcuno aveva fatto qualcosa di simile, con successo?

• Modifica: preferirei una libreria / classe con codice pronto per l'uso ... Sarebbe sciocco inventare la ruota quando qualcuno lo ha già fatto.

L'importazione di un'intera libreria sembra inefficiente quando tutto ciò di cui hai bisogno sono essenzialmente due righe di codice ...

$ldap = ldap_connect("ldap.example.com");
if ($bind = ldap_bind($ldap, $_POST['username'], $_POST['password'])) {
  // log them in!
} else {
  // error message
}

Penseresti che la semplice autenticazione di un utente in Active Directory sarebbe un processo piuttosto semplice utilizzando LDAP in PHP senza la necessità di una libreria. Ma ci sono molte cose che possono complicarlo abbastanza velocemente:

• È necessario convalidare l'input. Altrimenti passerebbero un nome utente / password vuoti.
• È necessario assicurarsi che il nome utente / la password siano codificati correttamente durante il collegamento.
• Dovresti crittografare la connessione utilizzando TLS.
• Utilizzo di server LDAP separati per la ridondanza nel caso in cui uno sia inattivo.
• Ricezione di un messaggio di errore informativo se l'autenticazione non riesce.

In realtà è più facile nella maggior parte dei casi utilizzare una libreria LDAP che supporti quanto sopra. Alla fine ho finito per creare la mia libreria che gestisce tutti i punti precedenti: LdapTools (Beh, non solo per l'autenticazione, può fare molto di più). Può essere utilizzato come segue:

use LdapTools\Configuration;
use LdapTools\DomainConfiguration;
use LdapTools\LdapManager;

$domain = (new DomainConfiguration('example.com'))
    ->setUsername('username') # A separate AD service account used by your app
    ->setPassword('password')
    ->setServers(['dc1', 'dc2', 'dc3'])
    ->setUseTls(true);
$config = new Configuration($domain);
$ldap = new LdapManager($config);

if (!$ldap->authenticate($username, $password, $message)) {
    echo "Error: $message";
} else {
    // Do something...
}

La chiamata di autenticazione sopra:

• Verifica che né il nome utente né la password siano vuoti.
• Assicurati che il nome utente / password siano codificati correttamente (UTF-8 per impostazione predefinita)
• Prova un server LDAP alternativo nel caso in cui uno sia inattivo.
• Crittografa la richiesta di autenticazione utilizzando TLS.
• Fornisci ulteriori informazioni in caso di errore (es. Account bloccato / disabilitato, ecc.)

Ci sono anche altre librerie per farlo (come Adldap2). Tuttavia, mi sono sentito abbastanza obbligato a fornire alcune informazioni aggiuntive poiché la risposta più votata è in realtà un rischio per la sicurezza su cui fare affidamento senza alcuna convalida dell'input e senza l'utilizzo di TLS.

Lo faccio semplicemente passando le credenziali dell'utente a ldap_bind ().

http://php.net/manual/en/function.ldap-bind.php

Se l'account può essere associato a LDAP, è valido; se non può, non lo è. Se tutto ciò che stai facendo è l'autenticazione (non la gestione dell'account), non vedo la necessità di una libreria.

Mi piace la classe Zend_Ldap , puoi usare solo questa classe nel tuo progetto, senza Zend Framework.

PHP ha librerie: http://ca.php.net/ldap

PEAR ha anche una serie di pacchetti: http://pear.php.net/search.php?q=ldap&in=packages&x=0&y=0

Non li ho usati neanche io, ma a un certo punto stavo per farlo e sembrava che avrebbero dovuto funzionare.

Per coloro che cercano un esempio completo, controlla http://www.exchangecore.com/blog/how-use-ldap-active-directory-authentication-php/ .

Ho testato questa connessione a controller di dominio Windows Server 2003 e Windows Server 2008 R2 da un server Web Windows Server 2003 (IIS6) e da un'impresa Windows Server 2012 che esegue IIS 8.