分享
 
 
 

在Windows和UNIX下利用PHP和LDAP进行身份验证

王朝php·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

我现在的老板曾要求我为企业内部互联网的Web服务提供一种标准的身份验证方法。我遇到的一个主要问题就是我们公司主要使用了两种平台:UNIX和Windows。所以,我的第一个想法并不很成功:它要求每个员工都使用UNIX或者Linux而放弃Windows。

我认为解决现在的UNIX/Windows问题的最好方法就是利用PHP的LDAP特性。由于LDAP服务器,要求我使用现有的系统,主要指的是一个巨大的Microsoft Exchange Server系统。我非常高兴使用Exchange,它很可靠,而且LDAP特性的使用和配置也极为简单。不过,请你注意:这套方案就身份验证角度来看并不是最安全的。如果有较高等级的安全需求,我强烈建议你采用LDAP和SSL。

从哪里开始学习

为了让你入门,我给出了一个PHP LDAP函数的清单并对函数的功能给以简要说明。然后,我将演示如何建立到LDAP服务器的连接并验证用户。为了代码简单起见,我将演示PHP连接的功能以及如何绑定到LDAP服务器。

一对绝配:PHP和LADP

下面是我在例子中将要使用的函数的清单。网上有相关资料。

ldap_connect―用来连接LDAP服务。

ldap_bind―用来绑定到特定的LDAP目录。

ldap_error―从LDAP服务器上获得错误信息。

ldap_search―用来开始搜索。

ldap_get_entries―从搜索结果中获得多个结果。

ldap_close―关闭LDAP连接。

现在我在例子中演示如何使用第一个函数(代码清单A)并适当介绍该函数的功能。

<?php

// LDAP variables

$ldap[‘user’] = ‘uname’;

$ldap[‘pass’] = ‘password’;

$ldap[‘host’] = ‘ldap.example.com’;

$ldap[‘port’] = 389;

$ldap[‘dn’] = ‘cn’.$ldap[‘user’].’,ou=Department,o=Company Name’;

$ldap[‘base’] = ‘’;

// connecting to ldap

$ldap[‘conn’] = ldap_connect( $ldap[‘host’], $ldap[‘port’] )

or die( “Could not connect to {$ldap[‘host’]}” );

?

将会返回一个到LDAP服务器的连接(也称为资源,即resource)。ldap_connect函数有两个参数:主机(host)和端口。第一个参数:主机就是LDAP主机名称,第二个参数是LDAP运行的端口。默认情况下,LDAP使用的端口号为389。如果你需要到LDAP服务器的一个安全连接,你可以把参数host改为一个你可以访问的LDAP服务器的URL,如下所示:

$ldap[‘conn’] = ldap_connect( “ldaps://ldap.example.com” );

由于你指定了URL而不是服务器名称,在这种方法下,你就不需要使用端口参数了。需要牢记的一点就是确切名称需要与加密套接字协议层证书(the SSL certificate)对应。

<?php

// LDAP variables

$ldap[‘user’] = ‘uname’;

$ldap[‘pass’] = ‘password’;

$ldap[‘host’] = ‘ldap.example.com’;

$ldap[‘port’] = 389;

$ldap[‘dn’] = ‘cn’.$ldap[‘user’].’,ou=Department,o=Company Name’;

$ldap[‘base’] = ‘’;

// connecting to ldap

$ldap[‘conn’] = ldap_connect( $ldap[‘host’], $ldap[‘port’] )

or die( “Could not connect to {$ldap[‘host’]}” );

// binding to ldap

$ldap[‘bind’] = ldap_bind( $ldap[‘conn’], $ldap[‘dn’], $ldap[‘pass’] );

?

演示了如何用用户名和口令来绑定到服务器。我创建了一个合适的域名(domain name ,DN)并用用户的口令来合法连接到LDAP。我们通过使用域名和口令就可以让LDAP服务器通过身份认证并允许绑定连接,这样我们就成功的绑定上了。ldap_bind的返回值是一个布尔类型。我们可以根据返回值判断用户的登录证书是否有效。当这个过程结束后,你就可以知道用户身份是否得到了认证。

如果发生了错误会怎样?调用ldap_error函数是判断发生了什么错误的好方法。ldap_error函数返回了一个字符串,其中包含了LDAP服务器发生的最后错误的信息。

<?php

// LDAP variables

$ldap[‘user’] = ‘uname’;

$ldap[‘pass’] = ‘password’;

$ldap[‘host’] = ‘ldap.example.com’;

$ldap[‘port’] = 389;

$ldap[‘dn’] = ‘cn’.$ldap[‘user’].’,ou=Department,o=Company Name’;

$ldap[‘base’] = ‘’;

// connecting to ldap

$ldap[‘conn’] = ldap_connect( $ldap[‘host’], $ldap[‘port’] )

or die( “Could not connect to server {$ldap[‘host’]} );

// binding to ldap

$ldap[‘bind’] = ldap_bind( $ldap[‘conn’], $ldap[‘dn’], $ldap[‘pass’] );

if( !$ldap[‘bind’] )

{

echo ldap_error( $ldap[‘conn’] );

exit;

}

?

中,我向脚本中添加了ldap_error函数,如果绑定到LDAP服务器的用户身份没有得到确认,那么代码将退出运行。该函数返回一个字符串,该字符串包含了发送到LDAP服务器的最后一条指令产生的错误信息。如果你按给定用户名和口令的绑定没有成功登录,那么错误信息将包含这对无效的用户名和口令。

在我们的最后一个例子中

<?php

// LDAP variables

$ldap[‘user’] = ‘uname’;

$ldap[‘pass’] = ‘password’;

$ldap[‘host’] = ‘ldap.example.com’;

$ldap[‘port’] = 389;

$ldap[‘dn’] = ‘cn’.$ldap[‘user’].’,ou=Department,o=Company Name’;

$ldap[‘base’] = ‘’;

// connecting to ldap

$ldap[‘conn’] = ldap_connect( $ldap[‘host’], $ldap[‘port’] )

or die( “Could not connect to server {$ldap[‘host’]} );

// binding to ldap

$ldap[‘bind’] = ldap_bind( $ldap[‘conn’], $ldap[‘dn’], $ldap[‘pass’] );

if( !$ldap[‘bind’] )

{

echo ldap_error( $ldap[‘conn’] );

exit;

}

// search for the user on the ldap server and return all

// the user information

$ldap[‘result’] = ldap_search( $ldap[‘conn’], $ldap[‘base’], ‘uid=’.$ldap[‘user’] );

if( $ldap[‘result’] )

{

// retrieve all the entries from the search result

$ldap[‘info’] = ldap_get_entries( $ldap[‘conn’], $ldap[‘result’] );

}

else

{

echo ldap_error( $ldap[‘conn’] );

exit;

}

if( $ldap[‘info’] )

{

// Add the user’s department name and email address

// to the session

$_SESSION[‘userdept’] = $ldap[‘info’][0][‘department’][0];

$_SESSION[‘usermail’] = $ldap[‘info’][0][‘mail’][0];

}

else

{

echo ldap_error( $ldap[‘conn’] );

exit;

}

// close connection to ldap server

$ldap_close( $ldap[‘conn’] );

?

我同时使用了上述函数清单中的最后列出的三个函数:: ldap_search、ldap_get_entries以及ldap_close.

当代码清单D中调用过ldap_bind函数后,我通过调用ldap_search函数来搜索服务器以获得我需要的信息。ldap_search函数有多个参数,不过,我们这里只使用了前三个参数。我向搜索函数传递了ldap connection、search base和filter参数,这样该函数就会正确用户名下以及支持的搜索范围和过滤条件下对服务器进行搜索。简而言之,就是我指定uid来指示用户名说明搜索的用户。这样LDAP服务器就会过滤搜索结果,仅仅返回该用户自己的LDAP信息。

学习过程

当我第一次开始用PHP的LDAP扩展时候,我对ldap_search函数只返回资源而不是一个数组或者字符串而迷惑不解。当我学会用ldap_get_entries函数来获取搜索的实际结果时,我才明白过来。ldap_get_entries函数的一个优点就是它把搜索结果作为一个多维数组来返回。就是说,我把搜索结果存到一个名为$ldap[‘info’]的数组中,这看起来挺让人迷惑的。

由于在多维数组中有我搜索的结果,我可以任意处理这些数据。我把用户的部门和电子邮件地址保存到session变量中,以便在本次session的稍后时候用上。

当这些事情都做完之后,我用ldap_close函数关闭连接。关闭函数可以释放连接资源。该函数还有一个别名ldap_unbind,它们实际上是同一个函数。

一个很好的出发点

尽管我对LDAP扩展中的其它函数有很多接触,我列出的函数对你初学LDAP身份认证来说已经够用了。PHP和LDAP的联合为基于Web的应用程序提供了一种通用的验证用户身份的方法。LDAP服务器允许管理员对用户授权访问许可,它也可以允许或者拒绝应用程序对数据的访问。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有