web-dev-qa-db-ja.com

Active Directoryを使用してイントラネットサイトのユーザーを認証する

独自のログインシステムを備えた「イントラネット」サイトを構築しています(ユーザーは新しいユーザーとして登録し、そのユーザー名/パスワードを使用してサイトにログインします)。ただし、ここで拡張し、イントラネットサイトで既存のActiveDirectoryを認証に使用するようにします。これは私が探しているものであり、今後も-

ユーザーがこのイントラネットサイト(http://intranetsite/mySite)、ユーザーのドメイン資格情報はActive Directoryに対して検証され、ユーザーの資格情報がADと一致する場合、ユーザーにはイントラネットサイトのメインページが表示されます。

私はADを初めて使用しますが、この構成を実行する方法がわかりません。私のイントラネットサイトはPHPを中心に構築されており、アプリケーションサーバーでApacheを使用しています。ADは別のIISサーバーにあります。

AD認証を使用できるようにするために、どのような情報が必要で、この情報をどこに(私のサイトに?htaccess?どこにでも?)入れますか? 「設定」だけで十分ですか、それとも明示的なPHPこの認証のコードを書く必要がありますか?

ポインタは大歓迎です。

27
kallakafar

認証のみを探しており、他に何も探していない場合は、ほんの数行のコードで済ますことができます。

まず、PHPに ldap enabled があることを確認します。

純粋なphp実装は次のとおりです。
(この方法で行う場合、ユーザーからユーザー名とパスワードを取得する必要があることに注意してください。匿名バインディングはほとんどの場合、ADに対してtrueを返します)

$link = ldap_connect('domain.com'); // Your domain or domain server

if(! $link) {
    // Could not connect to server - handle error appropriately
}

ldap_set_option($link, LDAP_OPT_PROTOCOL_VERSION, 3); // Recommended for AD

// Now try to authenticate with credentials provided by user
if (! ldap_bind($link, '[email protected]', 'SomeSecret')) {
    // Invalid credentials! Handle error appropriately
}
// Bind was successful - continue

現在ログインしているユーザーに関する情報を取得するなど、Active Directoryでもっと楽しいことを期待している場合は、フレームワークを使用して面倒な作業を行うことを強くお勧めします。既に述べたように、adLDAPは良いものであり、PHP 5.4を実行する場合、私は積極的に開発する AD-X ライブラリをお勧めします(Composerからインストールできます) )。

AD-Xライブラリでは、次のコードを使用してユーザーの資格情報を確認できます。

try {
    $link = new ADX\Core\Link('domain.com'); // Establish connection to AD
    $link->bind('[email protected]', 'SomeSecret'); // Authenticate user
}
catch (ADX\Core\ServerUnreachableException $e) {
    // Unable to connect to server, handle error
}
catch (ADX\Core\InvalidCredentialsException $e) {
    // Invalid credentials supplied
}
catch (Exception $e) {
    // Something else happened, check the exception and handle appropriately
}

// Successfully authenticated if no exception has been thrown

最適なものを自由に選択してください。ただし、認証以上のことを行うことを期待する場合は、LDAP作業にライブラリを使用することを強くお勧めします-期待どおりに機能しない場合、多くの時間とおそらくフラストレーションを節約します。

また、接続および認証に使用できる/すべき情報が疑わしい場合は、このトピックの 前の回答 をチェックしてください。

20
Robert Rossmann

私が使用するものは次のとおりです。

<?php
error_reporting(E_ALL);
ini_set('display_errors', 'On');

define('DOMAIN_FQDN', 'mycompany.intra');
define('LDAP_SERVER', '192.168.0.1');

if (isset($_POST['submit']))
{
    $user = strip_tags($_POST['username']) .'@'. DOMAIN_FQDN;
    $pass = stripslashes($_POST['password']);

    $conn = ldap_connect("ldap://". LDAP_SERVER ."/");

    if (!$conn)
        $err = 'Could not connect to LDAP server';

    else
    {
        define('LDAP_OPT_DIAGNOSTIC_MESSAGE', 0x0032);

        ldap_set_option($conn, LDAP_OPT_PROTOCOL_VERSION, 3);
        ldap_set_option($conn, LDAP_OPT_REFERRALS, 0);

        $bind = @ldap_bind($conn, $user, $pass);

        ldap_get_option($conn, LDAP_OPT_DIAGNOSTIC_MESSAGE, $extended_error);

        if (!empty($extended_error))
        {
            $errno = explode(',', $extended_error);
            $errno = $errno[2];
            $errno = explode(' ', $errno);
            $errno = $errno[2];
            $errno = intval($errno);

            if ($errno == 532)
                $err = 'Unable to login: Password expired';
        }

        elseif ($bind)
        {
            $base_dn = array("CN=Users,DC=". join(',DC=', explode('.', DOMAIN_FQDN)), 
                "OU=Users,OU=People,DC=". join(',DC=', explode('.', DOMAIN_FQDN)));

            $result = ldap_search(array($conn,$conn), $base_dn, "(cn=*)");

            if (!count($result))
                $err = 'Unable to login: '. ldap_error($conn);

            else
            {
                foreach ($result as $res)
                {
                    $info = ldap_get_entries($conn, $res);

                    for ($i = 0; $i < $info['count']; $i++)
                    {
                        if (isset($info[$i]['userprincipalname']) AND strtolower($info[$i]['userprincipalname'][0]) == strtolower($user))
                        {
                            session_start();

                            $username = explode('@', $user);
                            $_SESSION['foo'] = 'bar';

                            // set session variables...

                            break;
                        }
                    }
                }
            }
        }
    }

    // session OK, redirect to home page
    if (isset($_SESSION['foo']))
    {
        header('Location: /');
        exit();
    }

    elseif (!isset($err)) $err = 'Unable to login: '. ldap_error($conn);

    ldap_close($conn);
}
?>
<!DOCTYPE html><head><title>Login</title></head>
<style>
* { font-family: Calibri, Tahoma, Arial, sans-serif; }
.errmsg { color: red; }
#loginbox { font-size: 12px; }
</style>
<body>
<div align="center"><img id="imghdr" src="/img/logo.png" height="100" /><br><br><h2>Login</h2><br><br>

<div style="margin:10px 0;"></div>
<div title="Login" style="width:400px" id="loginbox">
    <div style="padding:10px 0 10px 60px">
    <form action="/login.php" id="login" method="post">
        <table><?php if (isset($err)) echo '<tr><td colspan="2" class="errmsg">'. $err .'</td></tr>'; ?>
            <tr>
                <td>Login:</td>
                <td><input type="text" name="username" style="border: 1px solid #ccc;" autocomplete="off"/></td>
            </tr>
            <tr>
                <td>Password:</td>
                <td><input type="password" name="password" style="border: 1px solid #ccc;" autocomplete="off"/></td>
            </tr>
        </table>
        <input class="button" type="submit" name="submit" value="Login" />
    </form>
    </div>
</div>
</div>
</body></html>
6
jrm