仅使用SamAccountName和Password验证来自PHP的来自PHP的用户身份？

Question

当我只有SamAccountName和Password时，如何使用LDAP从PHP进行身份验证？有没有一种方法来绑定只有SamAccountName和密码，没有专有名称。我发现的唯一示例假设您拥有DN：

$server="XXX.XXX.XXX.XXX"; 
$dn = "cn=$username, "; 
$basedn="ou=users, ou=accounts, dc=domain, dc=com"; 

if (!($connect = ldap_connect($server))) { 
    die ("Could not connect to LDAP server"); 
} 

if (!($bind = ldap_bind($connect, "$dn" . "$basedn", $password))) {   
    die ("Could not bind to $dn"); 
} 

$sr = ldap_search($connect, $basedn,"$filter"); 
$info = ldap_get_entries($connect, $sr); 
$fullname=$info[0]["displayname"][0]; 
$fqdn=$info[0]["dn"]; 

Answer 1

实际上，答案是它取决于管理员如何配置LDAP服务器。您并不总是需要DN才能对LDAP服务器进行身份验证。在我的特殊情况下，即使使用DN，我仍然无法向LDAP服务器进行身份验证。对于我尝试连接的LDAP服务器，它显示它是Microsoft域，因此我只能在DOMAIN中的user015的DOMAIN \ user015进行身份验证，其中user015是SamAccountName，而DOMAIN是该用户的域。但我能够验证。

谢谢你的所有帖子！即使他们不是正确的答案，他们确实帮了大忙！

Answer 2

您总是需要DN来验证LDAP服务器。之后，您可以基于特定属性（如SamAccountName）执行过滤器，但需要由DN标识的LDAP用户。

Answer 3

到AD的LDAP接口要求您使用DN进行绑定。为了验证用户，您必须先找到该用户的DN--幸运的是，您可以通过搜索LDAP来查找DN。

如果configure AD to allow anonymous queries（不这样做，除非你确信你真行，在安全的减少），你可以做

ldap_bind($connect, "", "") 
$sr = ldap_search($connect, $base_dn, "(sAMAccountName=$username)") 

，然后检索该用户的DN并着手进行重新绑定用户的DN和密码。

如果你不启用匿名绑定，然后使用一个应用程序ID做初步搜索，就像这样：

ldap_bind($connect, "DN=LDAP_App,OU=Users,DC=Domain,DC=com", "thePassword") 
$sr = ldap_search($connect, $base_dn, "(sAMAccountName=$username)") 

然后，如上文刚，获取该用户的DN并继续重新绑定。

Answer 4

在dn上尝试user @ domain ...它对我有效！

Answer 5

这适用于我。我花了很多天试图弄清楚这一点。

<?php 

//We just need six varaiables here 
$baseDN = 'CN=Users,DC=domain,DC=local'; 
$adminDN = "YourAdminDN";//this is the admin distinguishedName 
$adminPswd = "YourAdminPass"; 
$username = 'Username';//this is the user samaccountname 
$userpass = 'UserPass'; 
$ldap_conn = ldap_connect('ldaps://yourADdomain.local');//I'm using LDAPS here 

if (! $ldap_conn) { 
     echo ("<p style='color: red;'>Couldn't connect to LDAP service</p>"); 
    } 
else {  
     echo ("<p style='color: green;'>Connection to LDAP service successful!</p>"); 
    } 
//The first step is to bind the administrator so that we can search user info 
$ldapBindAdmin = ldap_bind($ldap_conn, $adminDN, $adminPswd); 

if ($ldapBindAdmin){ 
    echo ("<p style='color: green;'>Admin binding and authentication successful!!!</p>"); 

    $filter = '(sAMAccountName='.$username.')'; 
    $attributes = array("name", "telephonenumber", "mail", "samaccountname"); 
    $result = ldap_search($ldap_conn, $baseDN, $filter, $attributes); 

    $entries = ldap_get_entries($ldap_conn, $result); 
    $userDN = $entries[0]["name"][0]; 
    echo ('<p style="color:green;">I have the user DN: '.$userDN.'</p>'); 

    //Okay, we're in! But now we need bind the user now that we have the user's DN 
    $ldapBindUser = ldap_bind($ldap_conn, $userDN, $userpass); 

    if($ldapBindUser){ 
     echo ("<p style='color: green;'>User binding and authentication successful!!!</p>");   

     ldap_unbind($ldap_conn); // Clean up after ourselves. 

    } else { 
     echo ("<p style='color: red;'>There was a problem binding the user to LDAP :(</p>"); 
    }  

} else { 
    echo ("<p style='color: red;'>There was a problem binding the admin to LDAP :(</p>"); 
} 
?>