在使用 IE/Firefox 时使用 PHP、活动目录对 ldap 进行身份验证

Question

下面的代码会根据 ldap 检查用户的凭据

<?php
$ldaphost = "ldap.domain.com";
$ldapport = 389;

$ds = ldap_connect($ldaphost, $ldapport)
or die("Could not connect to $ldaphost");

if ($ds) 
{
    $username = "johndoe@domain.com";
    $upasswd = "pass";

    $ldapbind = ldap_bind($ds, $username, $upasswd);

    if ($ldapbind) 
        {print "Congratulations! $username is authenticated.";}
    else 
        {print "Access Denied!";}
}
?>

我的用户使用 Firefox 和 IE，我知道它们可以无缝传递他们的 ActiveDirectory 凭据。

我只是想检查 AD 组，看看是否在其中找到了该用户名，如果是，则显示页面，否则提示输入凭据。

由于我们的用户已经登录到域控制器，我想获取他们的用户名，检查是否在特定组中找到它，然后让他们进入，否则提示用户输入凭据。这怎么可能？

Answer 1

考虑到您使用 IIS 作为 Web 服务器这一事实，您实际上不需要从您的 PP 代码与 Active Directory 服务器进行通信来实现您想要的。

这里的关键词是Integrated Windows Authentication——这就是djn looked for的措辞。如果启用此选项（并且拒绝匿名访问），IIS 将根据 Active Directory 和所请求资源的 NTFS 文件系统权限检查提供的凭据。因此，您可以使用简单的 NTFS 访问控制机制来控制对文件的访问。

如果您的用户使用 IE，他们甚至不必输入凭据，因为这是通过所谓的 SPNEGO（简单且受保护的 GSSAPI 协商机制）及其底层机制 Kerberos 或 NTLMSSP 自动完成的，具体取决于关于您的客户端和服务器能够处理的内容。

据我所知，Firefox 也能够自动将 Windows 登录凭据移交给您的服务器。您只需调整 configuration option 即可启用该功能 - 不知道此信息在 Firefox 3.5.x 中是否仍然有效。

如果您在 *nix 系统上运行 Apache，您将不得不求助于一些服务器端模块来处理类似 集成 Windows 身份验证的系统。可能的选项是（不知道它们实际上是否仍然保持或稳定）：

• mod_auth_ntlm_winbind
• mod_auth_kerb
• mod_ntlm

对于 Windows 上的 Apache，有：

• mod_ntlm（已过时；与上述mod_ntlm不同）
• mod_auth_sspi（mod_ntlm 的继任者）

请注意，这些模块中的大多数似乎都已经很旧了。

Answer 2

刚刚在类似的设置上工作：我跳过了所有 LDAP 的东西，让 Web 服务器在让他进入之前使用 AD 对客户端进行身份验证（对不起，我不记得在 M$ 备用宇宙中这叫什么）。

如果客户到达他在 AD 中的 PHP 脚本，而我在 $_SERVER["AUTH_USER"] 和 $_SERVER["LOGON_USER"] 中都有他的用户名，否则他永远无法访问脚本。