logo标签列表

递归显示用户所属的所有活动目录组

phpactive-directoryldapactive-directory-group
3

我有下面这个脚本,用于检查AD访问权限,以及在特定组中检查成员身份。

如何显示用户可以访问的每个组,包括不是直接的组 - 例如 - 用户 - userA,在组 - groupA中,而groupA又在groupB中,我希望也显示groupB和groupA。

我缺少了什么?

<?php
        //ini_set('display_errors', 1);
        session_start();
        //ini_set('display_startup_errors', 1);
        //error_reporting(E_ALL);
//      require_once('assets/config.php');

        $ldap_server = "ldap*************************";


 if(isset($_SESSION['itssd_user'])) {
    $submittedusername = $_SESSION['itssd_user'];
 }
 if(isset($_SESSION['itssd_pw'])) {
    $submittedpassword = $_SESSION['itssd_pw'];
 }


        //$ro_access_group='CN=****,OU=Service Desk,OU=Customer Services,OU=ITS,OU=Groups,DC=registry,DC=otago,DC=ac,DC=nz';
        $ro_access_group='DC=registry,DC=otago,DC=ac,DC=nz';
        // Connect to the LDAP server
        $ldap = ldap_connect($ldap_server);

function inGroup($ldapConnection, $userDN, $groupToFind) {
    $filter = "(memberof:1.2.840.113556.1.4.1941:=".$groupToFind.")";
    $search = ldap_search($ldapConnection, $userDN, $filter, array("dn"), 1);

    $items = ldap_get_entries($ldapConnection, $search);
    echo "<pre>";
        echo var_dump($items)."<br>";
    echo "</pre>";
    if(!isset($items["count"])) {
        return false;
    }
    return (bool)$items["count"];
}
        if ($ldap) {
                // Connect to the database for querying.
//              $dbConn = connectDB();
                //$dn = "cn=" . $submittedusername . ",ou=Users,ou=Otago,dc=registry,dc=otago,dc=ac,dc=nz";

                $dn = "registry\\".$submittedusername;

                $basedn = "dc=registry,dc=otago,dc=ac,dc=nz";
                if (($submittedpassword == "") OR ($submittedpassword == NULL)) {
                        $loginResult = 'INVALIDUSER';
                } else {
                        // Now attempt to bind
                        if (ldap_bind($ldap, $dn, $submittedpassword)) {
                                $search_user=ldap_search($ldap, $basedn, "(sAMAccountName=".$submittedusername.")");
                                if($search_user){
                                echo 'Authenticated';
                                }

                                $user_details=ldap_get_entries($ldap, $search_user);
                                //$ro_name=$user_details[0]["displayname"][0];
                                if(!$user_details){
                                        $loginResult = "INVALIDUSER";
                                        echo 'null user details<br>'.sizeof($user_details);
                                }
                                else{
                                        //echo "<pre>";
                                            //echo var_dump($user_details[0])."<br>";
                                        //echo "</pre>";

                                         if(isset($user_details[0]["memberof"][0])) {
                                        $groupCount = $user_details[0]["memberof"]["count"] - 1;
                                        for ($i = 0; $i <= $groupCount; $i++) {
                                            echo $user_details[0]["memberof"][$i];
                                            echo "<br>";
                                        }
                                    }
                                        $_SESSION['itssd_email_messages_count'] = 0;
                                        $_SESSION['itssd_notifications_count'] = 0;
                                        $_SESSION['itssd_username'] = $submittedusername;
                                        $_SESSION['itssd_date_view'] = date('Y-m-d', time());
                                        $_SESSION['itssd_prod'] = FALSE;
                                        if (inGroup($ldap, $user_details[0]["dn"], $ro_access_group)) {
                                                $loginResult = "Authorised";
                                        } else {
                                                //echo "<br/><br/><br/>".$submittedusername." not in group ".$ro_access_group;
                                                //echo "<br/>".$user_details[0]["memberof"];
                                                //echo var_dump($user_details[0]["memberof"]);
                                                //echo "<br/><br/>";
                                                echo inGroup($ldap, $user_details[0]["dn"], $ro_access_group);
                                                $loginResult = "INVALIDUSER";
                                        }
                                }
                        } else {
                                $loginResult = 'INVALIDUSER';
                        }
                        $submittedpassword = NULL;
                }
                echo $loginResult;

        }
?>
1个回答
1
在您的inGroup方法中,请使用以下筛选器代替:
$filter = "(&(distinguishedName=$groupToFind)(member:1.2.840.113556.1.4.1941:=$userDN))";
这将首先根据DN选择组,然后通过其DN递归检查是否包含成员。
编辑
如果您想要搜索返回用户是成员的所有组,请使用此筛选器:
$filter = "(&(objectClass=group)(member:1.2.840.113556.1.4.1941:=$userDN))";
例如:
$filter = "(&(objectClass=group)(member:1.2.840.113556.1.4.1941:=$userDN))";
$search = ldap_search($ldapConnection, 'DC=registry,DC=otago,DC=ac,DC=nz', $filter, array("cn"));

$allGroups = ldap_get_entries($ldapConnection, $search);

上面的$allGroups将包含用户直接或间接(例如是另一个组的成员的组)所属的所有组。然而,DC=registry,DC=otago,DC=ac,DC=nz真的是您域的“基本”级别吗?这应该是ldap_search的第二个参数。
谢谢,那么通过使用更改后的 $filter 变量,我如何显示与彼此关联的每个组? - James_Inger
我更新了它,包括一个过滤器,当与ldap_search一起使用时,也可以返回用户所属的所有组。 - ChadSikorra
好的,我已将代码更改为显示特定用户的“memberof”属性。if(isset($user_details[0]["memberof"][0])) { $groupCount = $user_details[0]["memberof"]["count"] - 1; for ($i = 0; $i <= $groupCount; $i++) { echo $user_details[0]["memberof"][$i]; echo "<br>"; } } 我该如何使用每个组并递归地检查它们所在的组? - James_Inger
我基本上是从用户开始向上查找,试图找到每个与用户相关联的群组,例如 - 用户属于A、B、C群组,然后找到A群组所在的每个群组,以此类推,直到达到域的顶部。 - James_Inger
请看上面,我添加了一些额外的细节。使用 $filter = "(&(objectClass=group)(member:1.2.840.113556.1.4.1941:=$userDN))"; 将返回用户是成员的所有递归组。 - ChadSikorra
显示剩余2条评论
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接