使用Active Directory通过LDAP在PHP中进行身份验证

当你只需要基本上两行代码时，导入整个库似乎效率低下...

$ldap = ldap_connect("ldap.example.com");
if ($bind = ldap_bind($ldap, $_POST['username'], $_POST['password'])) {
  // log them in!
} else {
  // error message
}

你可能认为只是在 PHP 中使用 LDAP 对 Active Directory 进行用户身份验证应该是一个相当简单的过程，不需要库。但实际上有很多东西可以让它变得非常复杂：

• 必须验证输入。否则，空用户名/密码将通过。
• 绑定时应确保用户名/密码被正确编码。
• 应使用 TLS 加密连接。
• 为了备份，在需要的情况下使用单独的 LDAP 服务器。
• 如果验证失败，要获取有意义的错误消息。

事实上，在大多数情况下，使用支持上述功能的 LDAP 库更容易。我最终自己创建了一个处理以上所有点的库： LdapTools（不仅仅用于身份验证，还可以做更多）。它可以像以下这样使用：

use LdapTools\Configuration;
use LdapTools\DomainConfiguration;
use LdapTools\LdapManager;

$domain = (new DomainConfiguration('example.com'))
    ->setUsername('username') # A separate AD service account used by your app
    ->setPassword('password')
    ->setServers(['dc1', 'dc2', 'dc3'])
    ->setUseTls(true);
$config = new Configuration($domain);
$ldap = new LdapManager($config);

if (!$ldap->authenticate($username, $password, $message)) {
    echo "Error: $message";
} else {
    // Do something...
}

上述身份验证调用将会：

• 验证用户名和密码均不为空。
• 确保用户名/密码已正确编码（默认情况下为UTF-8）。
• 尝试备用LDAP服务器以防其中一个服务器宕机。
• 使用TLS加密身份验证请求。
• 在失败时提供额外信息（例如：帐户被锁定/禁用等）。

还有其他库也可以实现此功能（如Adldap2）。然而，最受欢迎的答案实际上存在安全风险，因为没有进行输入验证并且未使用TLS，所以我觉得有必要提供一些额外的信息。

我只需将用户凭证传递给ldap_bind()即可完成此操作。

http://php.net/manual/zh/function.ldap-bind.php

如果账户可以绑定LDAP，那么它是有效的；如果不能，则无效。如果你只需要进行身份验证（而非账户管理），我认为不需要使用库。

我喜欢Zend_Ldap类，你可以在不使用Zend Framework的情况下只使用这个类来完成你的项目。

PHP有许多库：http://ca.php.net/ldap

PEAR也提供了一些包：http://pear.php.net/search.php?q=ldap&in=packages&x=0&y=0

我没有使用过它们，但是它们看起来应该可以工作。