- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
我有以下脚本检查 AD 访问权限,然后在特定组内检查成员资格。
如何显示用户有权访问的每个组,包括不直接访问的组 - 例如 - 用户 - userA,在组 - groupA,以及 groupB 中的 groupA,我希望它也显示 groupB作为A组
我错过了什么?
<?php
//ini_set('display_errors', 1);
session_start();
//ini_set('display_startup_errors', 1);
//error_reporting(E_ALL);
// require_once('assets/config.php');
$ldap_server = "ldap*************************";
if(isset($_SESSION['itssd_user'])) {
$submittedusername = $_SESSION['itssd_user'];
}
if(isset($_SESSION['itssd_pw'])) {
$submittedpassword = $_SESSION['itssd_pw'];
}
//$ro_access_group='CN=****,OU=Service Desk,OU=Customer Services,OU=ITS,OU=Groups,DC=registry,DC=otago,DC=ac,DC=nz';
$ro_access_group='DC=registry,DC=otago,DC=ac,DC=nz';
// Connect to the LDAP server
$ldap = ldap_connect($ldap_server);
function inGroup($ldapConnection, $userDN, $groupToFind) {
$filter = "(memberof:1.2.840.113556.1.4.1941:=".$groupToFind.")";
$search = ldap_search($ldapConnection, $userDN, $filter, array("dn"), 1);
$items = ldap_get_entries($ldapConnection, $search);
echo "<pre>";
echo var_dump($items)."<br>";
echo "</pre>";
if(!isset($items["count"])) {
return false;
}
return (bool)$items["count"];
}
if ($ldap) {
// Connect to the database for querying.
// $dbConn = connectDB();
//$dn = "cn=" . $submittedusername . ",ou=Users,ou=Otago,dc=registry,dc=otago,dc=ac,dc=nz";
$dn = "registry\\".$submittedusername;
$basedn = "dc=registry,dc=otago,dc=ac,dc=nz";
if (($submittedpassword == "") OR ($submittedpassword == NULL)) {
$loginResult = 'INVALIDUSER';
} else {
// Now attempt to bind
if (ldap_bind($ldap, $dn, $submittedpassword)) {
$search_user=ldap_search($ldap, $basedn, "(sAMAccountName=".$submittedusername.")");
if($search_user){
echo 'Authenticated';
}
$user_details=ldap_get_entries($ldap, $search_user);
//$ro_name=$user_details[0]["displayname"][0];
if(!$user_details){
$loginResult = "INVALIDUSER";
echo 'null user details<br>'.sizeof($user_details);
}
else{
//echo "<pre>";
//echo var_dump($user_details[0])."<br>";
//echo "</pre>";
if(isset($user_details[0]["memberof"][0])) {
$groupCount = $user_details[0]["memberof"]["count"] - 1;
for ($i = 0; $i <= $groupCount; $i++) {
echo $user_details[0]["memberof"][$i];
echo "<br>";
}
}
$_SESSION['itssd_email_messages_count'] = 0;
$_SESSION['itssd_notifications_count'] = 0;
$_SESSION['itssd_username'] = $submittedusername;
$_SESSION['itssd_date_view'] = date('Y-m-d', time());
$_SESSION['itssd_prod'] = FALSE;
if (inGroup($ldap, $user_details[0]["dn"], $ro_access_group)) {
$loginResult = "Authorised";
} else {
//echo "<br/><br/><br/>".$submittedusername." not in group ".$ro_access_group;
//echo "<br/>".$user_details[0]["memberof"];
//echo var_dump($user_details[0]["memberof"]);
//echo "<br/><br/>";
echo inGroup($ldap, $user_details[0]["dn"], $ro_access_group);
$loginResult = "INVALIDUSER";
}
}
} else {
$loginResult = 'INVALIDUSER';
}
$submittedpassword = NULL;
}
echo $loginResult;
}
?>
最佳答案
在您的 inGroup
方法中,将其用于您的过滤器:
$filter = "(&(distinguishedName=$groupToFind)(member:1.2.840.113556.1.4.1941:=$userDN))";
将首先通过 DN 选择组,然后通过其 DN 递归地检查它是否包含成员。
编辑
如果您希望搜索返回用户所属的所有组,请使用此过滤器:
$filter = "(&(objectClass=group)(member:1.2.840.113556.1.4.1941:=$userDN))";
喜欢:
$filter = "(&(objectClass=group)(member:1.2.840.113556.1.4.1941:=$userDN))";
$search = ldap_search($ldapConnection, 'DC=registry,DC=otago,DC=ac,DC=nz', $filter, array("cn"));
$allGroups = ldap_get_entries($ldapConnection, $search);
上面的$allGroups
将包含用户直接或间接属于的每个组(例如属于不同组的组等)。但是,DC=registry,DC=otago,DC=ac,DC=nz
真的是您域的“基本”级别吗?这应该是 ldap_search
的第二个参数。
关于php - 递归显示用户所属的所有 Active Directory 组,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38364071/
当我尝试构建我的项目时,我遇到了这样的错误: FAILURE: Build failed with an exception. * What went wrong: Execution failed
我正在尝试从 Here 构建适用于 linux 3.7 内核的 Mali 驱动程序. 有一个单独的构建脚本,例如, #!/bin/bash export KDIR=/path/to/kernel/di
有没有一种方法可以使用普通的 lisp 创建目录。我想先创建一个文件夹,然后将我的 .txt .png 文件放入其中。我知道首先我可以在外部创建文件夹,然后使用 with-open-file 等在目录
Visual Studio 提示每次编译警告 MSB8029:中间目录或输出目录不能位于临时目录下,因为它可能导致增量构建出现问题。 我正在检查项目并更改了输出目录和中间目录,但我仍然在我的解决方案中
Visual Studio 提示每次编译警告 MSB8029:中间目录或输出目录不能位于临时目录下,因为它可能导致增量构建出现问题。 我正在检查项目并更改了输出目录和中间目录,但我仍然在我的解决方案中
我的客户安装了 Keycloak 以从 AWS Cognito 代理用户。 我需要这个 Keycloak 来代理来自 Azure Active Directory 的用户。 客户拥有 AAD 的 OF
我想从 macOS 上 parallel 命令的所有潜力中受益(似乎存在 2 个版本,GNU 和 Ole Tange 的版本,但我不确定)。 使用以下命令: parallel -j8 find {}
我需要实现一个 Active Directory(本地)管理器,用户可以在其中执行所有任务,例如添加用户、删除用户、分配许可证和分配组等。用户有用户名、密码和域 Controller 名称,所以他只需
我正在编写一个使用PHP adLDAP库与Active Directory交互的应用程序。 为了测试该应用程序,我需要使用Active Directory架构的本地LDAP DB以及示例数据。 我已经
我有一个包含两个域 AA.RR.COM 和 BB.RR.COM 的 Active Directory 林,其中包含用户和组。我需要搜索两个域中的用户,同时查询其中一个域(例如 AA.RT.COM)如何
我使用 Proxy-Address 属性作为确定用户电子邮件地址的主要方法(我只关心以“SMTP:”或“smtp:”为前缀的地址,此外,我使用以大写字母为前缀的地址SMTP 来确定主地址 - 这不是
这个问题不太可能对任何 future 的访客有帮助;它只与一个较小的地理区域、一个特定的时间点或一个非常狭窄的情况相关,通常不适用于全世界的互联网受众。如需帮助使此问题更广泛适用,visit the
所以我有一个目录 - 让我们说/dir/。在里面我有这些文件夹-/目录/fold1//目录/fold2//dir/fold3/ 这些文件夹 (fold1,2,3) 中的每一个都可能包含一个名为 foo
我正在使用 PHPmotion 在我本地的 ubuntu 机器上。 优步上传者在 phpmotion 中用于将文件上传到服务器。这是使用 perl 脚本(位于“ www/cgi-bin ”)上传文件。
我正在为我的公司开发一个基于 Web 的 Intranet。我只想知道用户使用事件目录登录详细信息登录应用程序是一件好事,还是我应该与应用程序数据库一起创建登录名。如果有什么比这更好的,请提出建议。这
我们有带有 AD 模块 1.0.4 的 Sitecore 6.5。 DEPARTMENT\SitecoreUsers AD 组中的用户可以登录 Sitecore,但 DEPARTMENT\Siteco
我使用的 AD 设置具有存储为(多个)安全组成员的用户。 我正在使用读取用户的 memberof 属性的软件来计算访问权限。 在 AD Explorer 中,我可以看到用户的 memberof 属性显
我们有一个在 .NET 上编写的 SaaS 应用程序,我们需要为我们的客户提供各种 SSO 方法。 不久前,我们对 OpenID 进行了标准化,希望这会成为一个通用标准,让我们不必支持不同的标准。不幸
我有 .Net 代码可以读取/写入我们本地的 Active Directory 域。阅读部分已经过测试并且工作正常,但我想测试“写作”部分。我的应用程序将修改事件目录中的一些用户配置文件,但我不想在实
我正在运行一个 ASP.NET 4.0 应用程序,它使用用户名(即 HttpContext.Current.Request.LogonUserIdentity.Name.ToString())来管理对
我是一名优秀的程序员,十分优秀!