Windows Server AD 是一個 LADP 伺服器,可讓您將資訊儲存在目錄服務中,在資料庫中進行查詢,並可以使用他來作為身份的認證授權。

使用PHP撰寫程式難免會遇到需要作身份認證的問題,除了自行撰寫這部份程式的選擇外,PHP 的函式庫中亦提供了標準的 LDAP 函式,如果公司組織中已經有架設 Windows 2K/2003 網域的環境 ,將身份認證的工作交由 Windows AD 亦是一個不錯的選擇。

在寫此程式前,請先到 php.ini 檔,打開 php_ldap.dll 的功能(預設是關閉的),否則執行時會出現未定義函數的錯誤訊息。(打開後記得要重啟apache服務,功能才會生效)

PHP可以一筆一筆撈出AD資料(ldap_first_entry / ldap_next_entry),然後將每一筆資料的欄位屬性解析出來(ldap_get_values)。

實作如下:

案例環境說明:
1.公司組織內有一個Windows 網域,名稱為: domain.com。
2.domain.com 的網域有兩部網域主控站(DC)分別為:dc.domain.com、dc2.domain.com。
3.PHP版本:5.2.1 由下載 AppServ 2.5.10 安裝

PHP程式碼範例:

<?php
$domain = 'domain.com'; //設定網域名稱
$dn="dc=domain,dc=com";

$user = 'administrator'; //設定欲認證的帳號名稱
$password = 'password'; //設定欲認證的帳號密碼

// 使用 ldap bind 
$ldaprdn = $user . '@' . $domain; 
// ldap rdn or dn 
$ldappass = $password; // 設定密碼

// 連接至網域控制站
$ldapconn = ldap_connect($domain) or die("無法連接至 $domain");

// 如果要特別指定某一部網域主控站(DC)來作認證則上面改寫為
//$ldapconn = ldap_connect('dc.domain.com) or die("無法連接至 dc.domain.com"); 
// 或 
// $ldapconn = ldap_connect('dc2.domain.com)or die("無法連接至 dc2.domain.com"); 

//以下兩行務必加上,否則 Windows AD 無法在不指定 OU 下,作搜尋的動作
ldap_set_option($ldapconn, LDAP_OPT_PROTOCOL_VERSION, 3);
ldap_set_option($ldapconn, LDAP_OPT_REFERRALS, 0);

if ($ldapconn) 
{ 
	// binding to ldap server
	echo("連結$domain <br>".$ldaprdn.",".$ldappass."<br>");
	$ldapbind = ldap_bind($ldapconn, $user, $password);     
	//$ldapbind = ldap_bind($ldapconn, $ldaprdn, $ldappass);     
	//$ldapbind = ldap_bind($ldapconn);     
	// verify binding     
	if ($ldapbind) 
	{         
		$filter = "(sAMAccountName=$user)";        
		$result = @ldap_search($ldapconn, $dn, $filter);        
		if($result==false) 
			echo "認證失敗(找不到 $user)";        
		else 
		{            
			echo "認證成功...";             
			//取出帳號的所有資訊             
			$entries = ldap_get_entries($ldapconn, $result);
			$data = ldap_get_entries( $ldapconn, $result );
			
			echo $data ["count"] . " entries returned\n";
			
			for($i = 0; $i <= $data ["count"]; $i ++) {
				for($j = 0; $j <= $data [$i] ["count"]; $j ++) {
					echo "[$i:$j]=".$data [$i] [$j] . ": " . $data [$i] [$data [$i] [$j]] [0] . "\n<br>";
				}
			}			     
		}    
	} 
	else 
	{         
		echo "認證失敗...";     
	} 
}
//關閉LDAP連結
ldap_close($ldapconn);
?> 
文章標籤
創作者介紹
MIS

MISTECH 技術手抄本

MIS 發表在 痞客邦 PIXNET 留言(0) 人氣()