我不知道如何在AD中获取用户唯一标识符(SID)。代码片段:
...
$filter="(&(samaccountname=".$this->username.")(memberOf:1.2.840.113556.1.4.1941:=CN=GROUP_NAME,OU=Security,DC=something,DC=something))";
$attribute = array("cn","objectsid","description", "group", "member", "samaccountname");
$sr=ldap_search($this->conn_ldap, $this->ldap_dn, $filter, $attribute);
if ($sr)
{
$this->info = ldap_get_entries($this->conn_ldap, $sr);
if ($this->info["count"] == 1){
ldap_close($this->conn_ldap);
return true;
}
...
我可以通过以下方式提取信息:
echo $this->info[0]["cn"][0];
或
echo $this->info[0]["objectsid"][0];
在第一个输出中,我可以看到像0�@�d^�WL7�U这样的用户名。
我相信sid应该像S-......?
答案 0 :(得分:3)
我在另一个网站上找到了解决方案(见下文)。 基本上这个函数是转换器并使SID可见:
public static function SIDtoString($ADsid)
{
$sid = "S-";
//$ADguid = $info[0]['objectguid'][0];
$sidinhex = str_split(bin2hex($ADsid), 2);
// Byte 0 = Revision Level
$sid = $sid.hexdec($sidinhex[0])."-";
// Byte 1-7 = 48 Bit Authority
$sid = $sid.hexdec($sidinhex[6].$sidinhex[5].$sidinhex[4].$sidinhex[3].$sidinhex[2].$sidinhex[1]);
// Byte 8 count of sub authorities - Get number of sub-authorities
$subauths = hexdec($sidinhex[7]);
//Loop through Sub Authorities
for($i = 0; $i < $subauths; $i++) {
$start = 8 + (4 * $i);
// X amount of 32Bit (4 Byte) Sub Authorities
$sid = $sid."-".hexdec($sidinhex[$start+3].$sidinhex[$start+2].$sidinhex[$start+1].$sidinhex[$start]);
}
return $sid;
}
https://www.null-byte.org/development/php-active-directory-ldap-authentication/
答案 1 :(得分:1)
作为替代示例,这可以使用PHP的解包功能完全完成。 objectSid二进制结构最好记录在this MSDN doc:
版本(1字节):一个8位无符号整数,用于指定 SID的修订级别。该值必须设置为0x01。
SubAuthorityCount(1字节):一个8位无符号整数,指定 SubAuthority数组中的元素数。最大数量 允许的元素是15。
IdentifierAuthority(6个字节):SID_IDENTIFIER_AUTHORITY结构 表示创建SID的权限。它 描述了创建SID的实体。标识权威 值{0,0,0,0,0,5}表示由NT SID权限创建的SID。
SubAuthority(变量):无符号32位的可变长度数组 唯一标识相对于的主体的整数 IdentifierAuthority。其长度由SubAuthorityCount确定。
/**
* Decode the binary SID into its readable form.
*
* @param string $value
* @return string
*/
function decodeSID($value)
{
# revision - 8bit unsigned int (C1)
# count - 8bit unsigned int (C1)
# 2 null bytes
# ID - 32bit unsigned long, big-endian order
$sid = @unpack('C1rev/C1count/x2/N1id', $value);
$subAuthorities = [];
if (!isset($sid['id']) || !isset($sid['rev'])) {
throw new \UnexpectedValueException(
'The revision level or identifier authority was not found when decoding the SID.'
);
}
$revisionLevel = $sid['rev'];
$identifierAuthority = $sid['id'];
$subs = isset($sid['count']) ? $sid['count'] : 0;
// The sub-authorities depend on the count, so only get as many as the count, regardless of data beyond it
for ($i = 0; $i < $subs; $i++) {
# Each sub-auth is a 32bit unsigned long, little-endian order
$subAuthorities[] = unpack('V1sub', hex2bin(substr(bin2hex($value), 16 + ($i * 8), 8)))['sub'];
}
# Tack on the 'S-' and glue it all together...
return 'S-'.$revisionLevel.'-'.$identifierAuthority.implode(
preg_filter('/^/', '-', $subAuthorities)
);
}
答案 2 :(得分:1)
这在64位系统上有效,我认为更为简洁。
function bin_to_str_sid($binsid) {
$parts = unpack('Crev/x/nidhigh/Nidlow', $binsid);
$ssid = sprintf('S-%u-%d', $parts['rev'], ($parts['idhigh']<<32) + $parts['idlow']);
$parts = unpack('x8/V*', $binsid);
if ($parts) $ssid .= '-';
$ssid .= join('-', $parts);
return $ssid;
}
答案 3 :(得分:1)
是老帖子,但我做了一些我认为有用的组合,并且此功能是二进制到SID转换的最终功能:
!important现在您可以放松并在任何PHP版本中使用此功能。