目前我们的网站有一个基本的登录页面(login.php)和一个单独的脚本(auth.php),其中包括通过LDAP对用户进行身份验证的功能。一旦登录,所有用户都有相同的访问级别,我们希望改变这一点。
目前,当用户登录时,我们会获取他们所属的所有组。然后,我们会遍历这些组,以查看他们是否可以通过我们的某个AD组访问系统。如果可以,他们就可以进入站点。
因为我们不希望每个已通过网站身份验证的人都能访问所有内容,所以我们希望更改此设置。我们希望在用户通过身份验证后设置页面级别访问级别。因为用户可能被分配到多个访问组,所以我们希望只为他们提供最低级别的访问权限。
我们将使用session变量来设置访问级别,然后使用类似下面的代码来实现页面级别访问。
if ($_SESSION['access'] != 3)
{
// user is logged in but not a ops team member, let's stop him
die("Access Denied");
}下面是当前的auth.php脚本。
登录名.php:
include("auth.php");验证php
<?php
session_start(); // Initialize session
function authenticate($user, $password)
{
$ldap_host = "example.com"; // Active Directory server
$ldap_dn = "DC=example,DC=com"; // Active Directory DN
$ldap_manager_group = "Group_1"; // Active Directory manager group
$ldap_ops_group = "Group_2"; // Active Directory ops group
$ldap_eng_group = "Group_3"; // Active Directory eng group
$ldap_eng2_group = "Group_4"; // Active Directory other eng group
$ldap_usr_dom = "@example.com"; // Domain, for purposes of constructing $user
$ldap = ldap_connect($ldap_host); // connect to active directory
if ($bind = @ldap_bind($ldap, $user . $ldap_usr_dom, $password)) // verify user and password
{
// valid
// check presence in groups
$filter = "(sAMAccountName=" . $user . ")";
$attr = array(
"memberof",
"cn",
"givenname",
"sn"
);
$result = ldap_search($ldap, $ldap_dn, $filter, $attr) or exit("Unable to search LDAP server");
$entries = ldap_get_entries($ldap, $result);
$givenname = $entries[0]['givenname'][0];
$surname = $entries[0]['sn'][0];
ldap_unbind($ldap);
foreach($entries[0]['memberof'] as $grps) // check groups
{
if (strpos($grps, $ldap_manager_group)) // is manager, break loop
{
$access = 4;
$group = $ldap_manager_group;
break;
}
if (strpos($grps, $ldap_ops_group)) $access = 3; // is ops team
$group = $ldap_ops_group;
if (strpos($grps, $ldap_eng_group)) $access = 2; // is eng team
$group = $ldap_eng_group;
if (strpos($grps, $ldap_eng2_group)) $access = 1; // is eng2 team
$group = $ldap_eng2_group;
}
if ($access != 0)
{
// establish session variables
$_SESSION['user'] = $user;
$_SESSION['access'] = $access;
$_SESSION['access_group'] = $group;
$_SESSION['givenname'] = $givenname;
$_SESSION['sn'] = $surname;
return true;
}
else
{
return false; // user has no rights
}
}
else
{
return false; // invalid name or password
}
}
?>我们正在考虑为每个访问级别创建新的访问组,如下所示:
- $access = 1 #访问报告(组=研究中心报告)
- $access = 2 #访问报告+内容3(组= site_ops)
- $access = 3 #访问报告+内容1(组=站点内容1)
- $access = 4 #访问报告+内容2(组=站点内容2)
- $access = 9号管理员(组=站点管理员)
但是对于如何搜索所有访问组的所有LDAP成员资格并分配最低访问值感到困惑。
我们认为类似这样的东西可以工作,但它与LDAP中数组的输出不匹配。
$grps = array(
$entries[0]['memberof']
);
if (in_array('site_reporting', $grps))
{
$access = 1;
}
elseif (in_array('site_ops', $grps))
{
$access = 2;
}
elseif (in_array('site_content1', $grps))
{
$access = 3;
}
elseif (in_array('site_content2', $grps))
{
$access = 4;
}
elseif (in_array('site_admin', $grps))
{
$access = 9;
}任何帮助都将不胜感激!谢谢!
2条答案
按热度按时间yruzcnhs1#
我认为它不匹配的原因是因为您试图仅匹配AD组名称,但您的查询将返回AD架构(CN、OU、DC等)。
一个建议是使用foreach循环和explode来只将组名和结果拆分到一个新数组中,然后将该数组用作if\else语句中的干草堆。
e5nszbig2#
如果你把access设为位掩码,那么你就去掉了层次概念,人们可以是多个组的成员,每个组不需要是前一个组的超集。
首先为组分配位值:
然后在测试时将位掩码添加到$access:
然后在每一页上测试: