通过PHP进行LDAP身份验证 - 访问组

时间:2017-10-05 21:58:16

标签: php forms authentication active-directory

我们目前有一个针对我们网站的基本登录页面(login.php)和一个单独的脚本(auth.php),其中包含通过LDAP对域用户进行身份验证的功能。登录后,所有用户都具有相同级别的访问权限,我们希望对其进行更改。

目前,当用户登录时,我们会抓取他们所在的所有组。然后,我们遍历这些组,看看他们是否可以通过我们的AD组之一访问系统。如果他们这样做,他们就可以进入该网站。

由于我们不希望每个经过网站身份验证的人都能访问所有内容,因此我们希望对其进行更改。我们希望在用户通过身份验证后设置页面级访问级别。并且因为可以将用户分配给多个访问组,所以我们只希望为他们提供最低级别的访问权限。

我们将使用会话变量来设置访问级别,然后使用类似以下内容进行页面级访问。

if ($_SESSION['access'] != 3)
    {
    // user is logged in but not a ops team member, let's stop him
    die("Access Denied");
    }

以下是当前的auth.php脚本。

的login.php: 

include("auth.php");

auth.php 

<?php
session_start(); // Initialize session
function authenticate($user, $password)
    {
    $ldap_host = "example.com"; // Active Directory server
    $ldap_dn = "DC=example,DC=com"; // Active Directory DN
    $ldap_manager_group = "Group_1"; // Active Directory manager group
    $ldap_ops_group = "Group_2"; // Active Directory ops group
    $ldap_eng_group = "Group_3"; // Active Directory eng group
    $ldap_eng2_group = "Group_4"; // Active Directory other eng group
    $ldap_usr_dom = "@example.com"; // Domain, for purposes of constructing $user
    $ldap = ldap_connect($ldap_host); // connect to active directory

    if ($bind = @ldap_bind($ldap, $user . $ldap_usr_dom, $password)) // verify user and password
        {
        // valid
        // check presence in groups
        $filter = "(sAMAccountName=" . $user . ")";
        $attr = array(
            "memberof",
            "cn",
            "givenname",
            "sn"
        );
        $result = ldap_search($ldap, $ldap_dn, $filter, $attr) or exit("Unable to search LDAP server");
        $entries = ldap_get_entries($ldap, $result);
        $givenname = $entries[0]['givenname'][0];
        $surname = $entries[0]['sn'][0];
        ldap_unbind($ldap);

        foreach($entries[0]['memberof'] as $grps) // check groups
            {
            if (strpos($grps, $ldap_manager_group)) // is manager, break loop
                {
                $access = 4;
                $group = $ldap_manager_group;
                break;
                }

            if (strpos($grps, $ldap_ops_group)) $access = 3; // is ops team
            $group = $ldap_ops_group;

            if (strpos($grps, $ldap_eng_group)) $access = 2; // is eng team
            $group = $ldap_eng_group;

            if (strpos($grps, $ldap_eng2_group)) $access = 1; // is eng2 team
            $group = $ldap_eng2_group;
            }

        if ($access != 0)
            {
            // establish session variables
            $_SESSION['user'] = $user;
            $_SESSION['access'] = $access;
            $_SESSION['access_group'] = $group;
            $_SESSION['givenname'] = $givenname;
            $_SESSION['sn'] = $surname;
            return true;
            }
          else
            {
            return false; // user has no rights
            }
        }
      else
        {
        return false; // invalid name or password
        }
    }
?>

我们正在考虑为每个访问级别创建新的访问组,如下所示:

  • $ access = 1#访问报告(group = site_reporting)
  • $ access = 2#访问报告+ content3(group = site_ops)
  • $ access = 3#访问报告+ content1(group = site_content1)
  • $ access = 4#访问报告+ content2(group = site_content2)
  • $ access = 9#Admin(group = site_admin)

但是我们如何搜索所有访问组的所有LDAP成员资格并分配最低访问值。

我们认为这样的东西会起作用,但它与LDAP中的数组输出不匹配。

$grps = array(
    $entries[0]['memberof']
);

if (in_array('site_reporting', $grps))
    {
    $access = 1;
    }
elseif (in_array('site_ops', $grps))
    {
    $access = 2;
    }
elseif (in_array('site_content1', $grps))
    {
    $access = 3;
    }
elseif (in_array('site_content2', $grps))
    {
    $access = 4;
    }
elseif (in_array('site_admin', $grps))
    {
    $access = 9;
    }

任何帮助将不胜感激!谢谢!

1 个答案:

答案 0 :(得分:1)

我认为它不匹配的原因是因为您尝试仅匹配AD组名称,但是您的查询将返回AD架构(CN,OU,DC等)。

一个建议是使用foreach循环并使用explode将组名和结果拆分为新数组。然后在if \ else语句中将该数组用作haystack。

相关问题
最新问题