我正在尝试使用 Active Directory 对我公司的 Symfony3 应用程序的用户进行身份验证。我当前的配置如下(这也通过在线 LDAP 测试服务器成功测试,因此我可以确认 Symfony 配置是正确的)。
//services.yml
Symfony\Component\Ldap\Ldap:
arguments: ['@Symfony\Component\Ldap\Adapter\ExtLdap\Adapter']
Symfony\Component\Ldap\Adapter\ExtLdap\Adapter:
arguments:
- host: host.dom1.dom2.net
port: 389
encryption: none
options:
protocol_version: 3
referrals: false
//security.yml
my_ldap:
ldap:
service: Symfony\Component\Ldap\Ldap
base_dn: dc=dom1,dc=dom2,dc=net
search_dn: "cn=myUsername,dc=dom1,dc=dom2,dc=net"
search_password: myPassword
default_roles: ROLE_ADMIN
uid_key: sAMAccountName
....
firewalls:
form_login_ldap:
provider: my_ldap
service: Symfony\Component\Ldap\Ldap
dn_string: 'sAMAccountName={username},dc=dom1,dc=dom2,dc=net'
login_path: login
check_path: login
default_target_path: /index
当我尝试登录时,我会因为“凭据无效”而被拒绝,但我确信我的凭据输入正确。我希望这里的主要问题是“search_dn”和“search_password”是我自己的,我在我们的 AD 中没有管理员权限。看来(根据 Symfony 文档)这些凭据需要是 AD 管理员用户的凭据。我正在等待来自我的系统管理员的此信息,但它必须上链,因此可能需要一段时间。我也尝试用空值替换它们,这会引发不同的错误。
我的问题出现在这一点上,因为我实际上能够通过以下代码单独使用 PHP 建立成功的连接并与我们的 AD 绑定:
//ldapconnect.php
$ldap = ldap_connect("host.dom1.dom2.net");
if (ldap_bind($ldap, "myUsername@dom1.dom2.net", "myPassword")) {
echo "login successful";
} else {
echo "Incorrect Login";
}
基本上我想看看我是否可以以某种方式将上述独立的 PHP ldap 绑定代码复制到我的 Symfony 项目中(似乎 Symfony 中所需的 dn 字符串导致了问题)。我对此相当陌生,所以我不太明白为什么独立的 PHP 代码允许 LDAP 绑定,而使用 dn 字符串却不允许(除了我们的 AD 可能在使用 dn 字符串时阻止请求)。
提前感谢您的任何帮助。
编辑:使用只读管理员搜索 dn 信息更新:
//security.yml
my_ldap:
ldap:
service: Symfony\Component\Ldap\Ldap
base_dn: 'CN=Users,dc=dom1,dc=dom2,dc=net'
search_dn: "cn=ReadOnlyAdmin,OU=ou1,OU=ou2,dc=dom1,dc=dom2,dc=net"
search_password: adminPass
default_roles: ROLE_USER
uid_key: sAMAccountName
....
firewalls:
http_basic_ldap:
provider: my_ldap
service: Symfony\Component\Ldap\Ldap
dn_string: 'DOMAIN\{username}'
看来我现在至少能够绑定到 ldap 服务器,但是我仍然收到无效凭据,并出现“找不到用户”错误:
//dev.log
[2017-09-11 13:10:15] request.INFO: Matched route "app_default_admin". {"route":"app_default_admin","route_parameters":{"_controller":"AppBundle\\Controller\\DefaultController::adminAction","_route":"app_default_admin"},"request_uri":"http://localhost:8000/index","method":"GET"} []
[2017-09-11 13:10:15] security.INFO: Basic authentication Authorization header found for user. {"username":"myUsername"} []
[2017-09-11 13:10:15] security.INFO: Basic authentication failed for user. {"username":"myUsername","exception":"[object] (Symfony\\Component\\Security\\Core\\Exception\\BadCredentialsException(code: 0): Bad credentials. at C:\\pathtoSymfonyProject\\vendor\\symfony\\symfony\\src\\Symfony\\Component\\Security\\Core\\Authentication\\Provider\\UserAuthenticationProvider.php:73, Symfony\\Component\\Security\\Core\\Exception\\UsernameNotFoundException(code: 0): User \"myUsername\" not found. at C:\\pathtoSymfonyProject\\vendor\\symfony\\symfony\\src\\Symfony\\Component\\Security\\Core\\User\\LdapUserProvider.php:82)"} []
我还在第三行末尾质疑这个“用户\“我的用户名\”未找到”错误,它是在广告中搜索用户名“我的用户名\”并添加反斜杠吗?这可能只是错误代码的格式,因为它在第二行和第三行的开头看起来是正确的。
编辑 2:
我终于得到了连接工作,正确的配置如下:
//security.yml
my_ldap:
ldap:
service: Symfony\Component\Ldap\Ldap
base_dn: 'dc=dom1,dc=dom2,dc=net'
search_dn: "cn=ReadOnlyAdmin,OU=ou1,OU=ou2,dc=dom1,dc=dom2,dc=net"
search_password: 'adminPass'
default_roles: ROLE_USER
uid_key: sAMAccountName
....
firewalls:
http_basic_ldap:
provider: my_ldap
service: Symfony\Component\Ldap\Ldap
dn_string: 'MYDOMAIN\{username}'
在我之前的编辑中,我所要做的就是从 base_dn 中删除“CN=Users”,因为用户帐户实际上并不位于那里,删除它并只留下域组件就可以让我们的整个 AD 被搜索到用户。另一个重要的注意事项是 dn_string 必须配置为 'MYDOMAIN\{username}' 否则身份验证将无法通过(根据 Alvin Bunk 的响应)。正如 Alvin 在下面链接的文章中指出的那样,不幸的是,Symfony LDAP 文档中没有提到该部分。