7

如何使用 php_ldap 模块检查用户是否属于某个组?

我对 ldap 完全陌生,因此有点困惑......

到目前为止,通过谷歌搜索,我想出了这个:

$ds=ldap_connect($ldapHost, $ldapPort);
if ($ds) {
    $r=ldap_bind($ds, $ldapRdn, $ldapPassword);
    $filter = "(sAMAccountName=" . $uid . ")";
    $attr = array("memberof");
    $result = ldap_search($ds, $ldapDN, $filter, $attr) or exit("Unable to search LDAP server");

我不确定这是否正确,因为它是从特定于 AD 的 soemthign 中提取的。问题似乎是 $ldapDN。这就是我要搜索的内容吗?我的团体“定义”是:

cn=User,ou=Profiles,ou=App_DEV,ou=ApplicationRights,O=MyCompany.COM

我该怎么做这个检查?

编辑:

这是我在“接受的答案”和“试错”的帮助下找到的解决方案。我认为答案很大程度上取决于您的特定系统。

//This is the User group DN
$ldapDN = "cn=User,ou=Profiles,ou=App_DEV,ou=ApplicationRights,O=MyCompany.COM";
$filter = "(uniqueMember=uid=" . $uid . ",ou=Users,O=MYCOMPANY.COM)";
$attr = array('uniqueMember');
$result = ldap_search($ldapConnection, $ldapDN, $filter, $attr):
$entries = ldap_get_entries($ldapConnection, $result);
ldap_unbind($ldapConnection);
return intval($entries["count"]) > 0;
4

1 回答 1

6

成员信息通常存储在组中 - 以“member”或“memberUid”属性的形式。'member' 表示成员对象的完整 DN(可分辨名称),看起来类似于 'uid=username,ou=users,dc=example,dc=com'。在 memberUid 的情况下,该值将只是“用户名”。

找出目录中正在使用的方法是使用Apache Directory Studio之类的工具分析组。

除了“member”属性外,AD 还在用户记录中存储了 memberOf 属性,其中包含组的 DN。但是大多数目录不这样做,这可能是您的代码无法正常工作的原因。

您正在寻找的是这样的过滤器:

// & means "And" the next sibling items: 
// so "find items that have the objectClass of group and a member whose DN is user_dn
(&(objectClass=group)(member=[user_dn]))

或者

(&(objectClass=group)(memberUid=[user_uid]))

所以在你的情况下

$result = ldap_search(
    $ds,
    'dc=mycompany,dc=com', // The base from which to start your search. (could be an OU too, like 'ou=restricted,dc=mycompany,dc=com')
    '(&(objectClass=group)(member=uid=tom,ou=users,dc=mycompany,dc=com))'
);

或者,如果您的群组使用 memberUid,您可以将过滤器更改为

$filter = '(&(objectClass=group)(memberUid=username))';

然后,$result 应该包含一个以“用户名”为成员的组记录列表。

于 2012-11-21T08:27:57.380 回答