AuthLDAP

 AuthLdap

AuthLdap 是一個 PHP 的 LDAP 認證及用戶管理 class。 它提供一個簡易透過 LDAP 資料庫認證用戶、取得會員資料、更改密碼等功能
class.AuthLdap.php:

1. <?php
2. /**
3.  * class.AuthLdap.php , version 0.2
4.  * Mark Round, April 2002 - http://www.markround.com/unix
5.  * Provides LDAP authentication and user functions.
6.  *
7.  * Not intended as a full-blown LDAP access class - but it does provide
8.  * several useful functions for dealing with users.
9.  * Note - this works out of the box on Sun's iPlanet Directory Server - but
10.  * an ACL has to be defined giving all users the ability to change their
11.  * password (userPassword attribute).
12.  * See the README file for more information and examples.
13.  *
14.  * This program is free software; you can redistribute it and/or modify
15.  * it under the terms of the GNU General Public License as published by
16.  * the Free Software Foundation; either version 2 of the License, or
17.  * (at your option) any later version.
18.  * 
19.  * This program is distributed in the hope that it will be useful,
20.  * but WITHOUT ANY WARRANTY; without even the implied warranty of
21.  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
22.  * GNU General Public License for more details.
23.  * 
24.  * You should have received a copy of the GNU General Public License
25.  * along with this program; if not, write to the Free Software
26.  * Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA
27.  *
28.  * ChangeLog
29.  * ---------
30.  * version 0.2, 11.04.2003, Michael Joseph <[email protected]> 
31.  * - Added switches and workarounds for Active Directory integration
32.  * - Change documentation to phpdoc style (http://phpdocu.sourceforge.net)
33.  * - Added a constructor
34.  * - Added an attribute array parameter to the getUsers method
35.  */
36.  
37. class AuthLdap {
38.  
39.     // 1.1 Public properties -----------------------------------------------------
40.     /**
41.      * Array of server IP address or hostnames
42.      */
43.     var $server;
44.     /**
45.      * The base DN (e.g. "dc=foo,dc=com")
46.      */
47.     var $dn;
48.     /**
49.      * the directory server, currently supports iPlanet and Active Directory
50.      */
51.     var $serverType;
52.     /**
53.      * Active Directory authenticates using user@domain
54.      */
55.     var $domain;
56.     /**
57.      * The user to authenticate with when searching
58.      * Active Directory doesn't support anonymous access
59.      */
60.     var $searchUser;
61.     /**
62.      * The password to authenticate with when searching
63.      * Active Directory doesn't support anonymous access
64.      */
65.     var $searchPassword;
66.     /**
67.      *  Where the user records are kept
68.      */
69.     var $people;
70.     /**
71.      * Where the group definitions are kept
72.      */
73.     var $groups;
74.     /**
75.      * The last error code returned by the LDAP server
76.      */
77.     var $ldapErrorCode;
78.     /**
79.      * Text of the error message
80.      */
81.     var $ldapErrorText;
82.  
83.     // 1.2 Private properties ----------------------------------------------------
84.     /**
85.      * The internal LDAP connection handle
86.      */
87.     var $connection;
88.     /**
89.      * Result of any connections etc.
90.      */
91.     var $result;
92.  
93.     /**
94.      * Constructor- creates a new instance of the authentication class
95.      *
96.      * @param string the ldap server to connect to
97.      * @param string the base dn
98.      * @param string the server type- current supports iPlanet and ActiveDirectory
99.      * @param string the domain to use when authenticating against Active Directory
100.      * @param string the username to authenticate with when searching if anonymous binding is not supported
101.      * @param string the password to authenticate with when searching if anonymous binding is not supported
102.      */
103.     function AuthLdap ($sLdapServer, $sBaseDN, $sServerType, $sDomain = "", $searchUser = "", $searchPassword = "") {
104.         $this->server = array($sLdapServer);
105.         $this->dn = $sBaseDN;
106.         $this->serverType = $sServerType;
107.         $this->domain = $sDomain;
108.         $this->searchUser = $searchUser;
109.         $this->searchPassword = $searchPassword;
110.     }
111.     
112.     // 2.1 Connection handling methods -------------------------------------------
114.     /**
115.      * 2.1.1 : Connects to the server. Just creates a connection which is used
116.      * in all later access to the LDAP server. If it can't connect and bind
117.      * anonymously, it creates an error code of -1. Returns true if connected,
118.      * false if failed. Takes an array of possible servers - if one doesn't work,
119.      * it tries the next and so on.
120.      */
121.     function connect() {
122.         foreach ($this->server as $key => $host) {
123.             $this->connection = ldap_connect( $host);
124.             if ( $this->connection) {
125.                 if ($this->serverType == "ActiveDirectory") {
126.                     return true;
127.                 } else {
128.                     // Connected, now try binding anonymously
129.                     $this->result=@ldap_bind( $this->connection);
130.                 }
131.                 return true;
132.             }
133.         }
134.  
135.         $this->ldapErrorCode = -1;
136.         $this->ldapErrorText = "Unable to connect to any server";
137.         return false;
138.     }
139.  
140.     /**
141.      * 2.1.2 : Simply closes the connection set up earlier.
142.      * Returns true if OK, false if there was an error.
143.      */
144.     function close() {
145.         if ( !@ldap_close( $this->connection)) {
146.             $this->ldapErrorCode = ldap_errno( $this->connection);
147.             $this->ldapErrorText = ldap_error( $this->connection);
148.             return false;
149.         } else {
150.             return true;
151.         }
152.     }
153.  
154.     /**
155.      * 2.1.3 : Anonymously binds to the connection. After this is done,
156.      * queries and searches can be done - but read-only.
157.      */
158.     function bind() {
159.         if ( !$this->result=@ldap_bind( $this->connection)) {
160.             $this->ldapErrorCode = ldap_errno( $this->connection);
161.             $this->ldapErrorText = ldap_error( $this->connection);
162.             return false;
163.         } else {
164.             return true;
165.         }
166.     }
167.  
168.  
169.  
170.     /**
171.      * 2.1.4 : Binds as an authenticated user, which usually allows for write
172.      * access. The FULL dn must be passed. For a directory manager, this is
173.      * "cn=Directory Manager" under iPlanet. For a user, it will be something
174.      * like "uid=jbloggs,ou=People,dc=foo,dc=com".
175.      */    
176.     function authBind( $bindDn,$pass) {
177.         if ( !$this->result = @ldap_bind( $this->connection,$bindDn,$pass)) {
178.             $this->ldapErrorCode = ldap_errno( $this->connection);
179.             $this->ldapErrorText = ldap_error( $this->connection);
180.             return false;
181.         } else {
182.             return true;
183.         }
184.     }
185.  
186.     // 2.2 Password methods ------------------------------------------------------
188.     /**
189.      * 2.2.1 : Checks a username and password - does this by logging on to the
190.      * server as a user - specified in the DN. There are several reasons why
191.      * this login could fail - these are listed below.
192.      */
193.     function checkPass( $uname,$pass) {
194.         /* Construct the full DN, eg:-
195.         ** "uid=username, ou=People, dc=orgname,dc=com"
196.         */
197.         if ($this->serverType == "ActiveDirectory") {
198.             $checkDn = "$uname@$this->domain";
199.         } else {
200.             $checkDn = $this->getUserIdentifier() . "=$uname, " . $this->setDn(true);
201.         }
202.         // Try and connect...
203.         $this->result = @ldap_bind( $this->connection,$checkDn,$pass);
204.         if ( $this->result) {
205.             // Connected OK - login credentials are fine!
206.             return true;
207.         } else {
208.             /* Login failed. Return false, together with the error code and text from
209.             ** the LDAP server. The common error codes and reasons are listed below :
210.             ** (for iPlanet, other servers may differ)
211.             ** 19 - Account locked out (too many invalid login attempts)
212.             ** 32 - User does not exist
213.             ** 49 - Wrong password
214.             ** 53 - Account inactive (manually locked out by administrator)
215.             */
216.             $this->ldapErrorCode = ldap_errno( $this->connection);
217.             $this->ldapErrorText = ldap_error( $this->connection);
218.             return false;
219.         }
220.     }
221.  
222.  
223.     /**
224.      * 2.2.2 : Allows a password to be changed. Note that on most LDAP servers,
225.      * a new ACL must be defined giving users the ability to modify their
226.      * password attribute (userPassword). Otherwise this will fail.
227.      */
228.     function changePass( $uname,$oldPass,$newPass) {
229.         // builds the appropriate dn, based on whether $this->people and/or $this->group is set
230.         if ($this->serverType == "ActiveDirectory") {
231.             $checkDn = "$uname@$this->domain";
232.         } else {
233.             $checkDn = $this->getUserIdentifier() . "=$uname, " . $this->setDn(true);
234.         }
235.         $this->result = @ldap_bind( $this->connection,$checkDn,$oldPass);
236.  
237.         if ( $this->result) {
238.             // Connected OK - Now modify the password...
239.             $info["userPassword"] = $newPass;
240.             $this->result = @ldap_modify( $this->connection, $checkDn, $info);
241.             if ( $this->result) {
242.                 // Change went OK
243.                 return true;
244.             } else {
245.                 // Couldn't change password...
246.                 $this->ldapErrorCode = ldap_errno( $this->connection);
247.                 $this->ldapErrorText = ldap_error( $this->connection);
248.                 return false;
249.             }
250.         } else {
251.             // Login failed - see checkPass method for common error codes
252.             $this->ldapErrorCode = ldap_errno( $this->connection);
253.             $this->ldapErrorText = ldap_error( $this->connection);
254.             return false;
255.         }
256.     }
257.  
258.  
259.     /**
260.      * 2.2.3 : Returns days until the password will expire.
261.      * We have to explicitly state this is what we want returned from the
262.      * LDAP server - by default, it will only send back the "basic"
263.      * attributes.
264.      */
265.     function checkPassAge ( $uname) {
266.  
267.         $results[0] = "passwordexpirationtime";
268.         // builds the appropriate dn, based on whether $this->people and/or $this->group is set
269.         $checkDn = $this->setDn(true);
270.         $this->result = @ldap_search( $this->connection,$checkDn,$this->getUserIdentifier()."=$uname",$results);
271.  
272.         if ( !$info=@ldap_get_entries( $this->connection, $this->result)) {
273.             $this->ldapErrorCode = ldap_errno( $this->connection);
274.             $this->ldapErrorText = ldap_error( $this->connection);
275.             return false;
276.         } else {
277.             /* Now work out how many days remaining....
278.             ** Yes, it's very verbose code but I left it like this so it can easily 
279.             ** be modified for your needs.
280.             */
281.             $date  = $info[0]["passwordexpirationtime"][0];
282.             $year  = substr( $date,0,4);
283.             $month = substr( $date,4,2);
284.             $day   = substr( $date,6,2);
285.             $hour  = substr( $date,8,2);
286.             $min   = substr( $date,10,2);
287.             $sec   = substr( $date,12,2);
288.  
289.             $timestamp = mktime( $hour,$min,$sec,$month,$day,$year);
290.             $today  = mktime();
291.             $diff   = $timestamp-$today;
292.             return round( ( ( ( $diff/60)/60)/24));
293.         }
294.     }
295.  
296.     // 2.3 Group methods ---------------------------------------------------------
298.     /**
299.      * 2.3.1 : Checks to see if a user is in a given group. If so, it returns
300.      * true, and returns false if the user isn't in the group, or any other
301.      * error occurs (eg:- no such user, no group by that name etc.)
302.      */
303.     function checkGroup ( $uname,$group) {
304.         // builds the appropriate dn, based on whether $this->people and/or $this->group is set
305.         $checkDn = $this->setDn(false);
306.  
307.         // We need to search for the group in order to get it's entry.
308.         $this->result = @ldap_search( $this->connection, $checkDn, "cn=" .$group);
309.         $info = @ldap_get_entries( $this->connection, $this->result);
310.  
311.         // Only one entry should be returned(no groups will have the same name)
312.         $entry = ldap_first_entry( $this->connection,$this->result);
313.  
314.         if ( !$entry) {
315.             $this->ldapErrorCode = ldap_errno( $this->connection);
316.             $this->ldapErrorText = ldap_error( $this->connection);
317.             return false;  // Couldn't find the group...
318.         }
319.         // Get all the member DNs
320.         if ( !$values = @ldap_get_values( $this->connection, $entry, "uniqueMember")) {
321.             $this->ldapErrorCode = ldap_errno( $this->connection);
322.             $this->ldapErrorText = ldap_error( $this->connection);
323.             return false; // No users in the group
324.         }
325.  
326.         foreach ( $values as $key => $value) {
327.             /* Loop through all members - see if the uname is there...
328.             ** Also check for sub-groups - this allows us to define a group as
329.             ** having membership of another group.
330.             ** FIXME:- This is pretty ugly code and unoptimised. It takes ages
331.             ** to search if you have sub-groups.
332.             */
333.             list( $cn,$ou) = explode( ",",$value);
334.             list( $ou_l,$ou_r) = explode( "=",$ou);
335.  
336.             if ( $this->groups==$ou_r) {
337.                 list( $cn_l,$cn_r) = explode( "=",$cn);
338.                 // OK, So we now check the sub-group...
339.                 if ( $this->checkGroup ( $uname,$cn_r)) {
340.                     return true;
341.                 }
342.             }
343.  
344.             if ( preg_match( "/$uname/i",$value)) {
345.                 return true;
346.             }
347.         }
348.     }
349.  
350.     // 2.4 Attribute methods -----------------------------------------------------
351.     /**
352.      * 2.4.1 : Returns an array containing a set of attribute values.
353.      * For most searches, this will just be one row, but sometimes multiple
354.      * results are returned (eg:- multiple email addresses)
355.      */
356.     function getAttribute ( $uname,$attribute) {
357.         // builds the appropriate dn, based on whether $this->people and/or $this->group is set
358.         $checkDn = $this->setDn( true);
359.         $results[0] = $attribute;
360.  
361.         // We need to search for this user in order to get their entry.
362.         $this->result = @ldap_search( $this->connection,$checkDn,$this->getUserIdentifier()."=$uname",$results);
363.         $info = ldap_get_entries( $this->connection, $this->result);
364.  
365.         // Only one entry should ever be returned (no user will have the same uid)
366.         $entry = ldap_first_entry( $this->connection, $this->result);
367.  
368.         if ( !$entry) {
369.             $this->ldapErrorCode = -1;
370.             $this->ldapErrorText = "Couldn't find user";
371.             return false;  // Couldn't find the user...
372.         }
373.  
374.         // Get all the member DNs
375.         if ( !$values = @ldap_get_values( $this->connection, $entry, $attribute)) {
376.             $this->ldapErrorCode = ldap_errno( $this->connection);
377.             $this->ldapErrorText = ldap_error( $this->connection);
378.             return false; // No matching attributes
379.         }
380.  
381.         // Return an array containing the attributes.
382.         return $values;
383.     }
384.  
385.     /**
386.      * 2.4.2 : Allows an attribute value to be set.
387.      * This can only usually be done after an authenticated bind as a
388.      * directory manager - otherwise, read/write access will not be granted.
389.      */
390.     function setAttribute( $uname, $attribute, $value) {
391.         // Construct a full DN...
392.         // builds the appropriate dn, based on whether $this->people and/or $this->group is set
393.         $attrib_dn = $this->getUserIdentifier()."=$uname," . $this->setDn(true);
394.  
395.         $info[$attribute] = $value;
396.         // Change attribute
397.         $this->result = ldap_modify( $this->connection, $attrib_dn, $info);
398.         if ( $this->result) {
399.             // Change went OK
400.             return true;
401.         } else {
402.             // Couldn't change password...
403.             $this->ldapErrorCode = ldap_errno( $this->connection);
404.             $this->ldapErrorText = ldap_error( $this->connection);
405.             return false;
406.         }
407.     }
408.  
409.     // 2.5 User methods ----------------------------------------------------------
410.     /**
411.      * 2.5.1 : Returns an array containing a details of users, sorted by
412.      * username. The search criteria is a standard LDAP query - * returns all
413.      * users.  The $attributeArray variable contains the required user detail field names
414.      */
415.     function getUsers( $search, $attributeArray) {
416.         // builds the appropriate dn, based on whether $this->people and/or $this->group is set
417.         $checkDn = $this->setDn( true);
418.  
419.         // Perform the search and get the entry handles
420.         
421.         // if the directory is AD, then bind first with the search user first
422.         if ($this->serverType == "ActiveDirectory") {
423.             $this->authBind($this->searchUser, $this->searchPassword);
424.         }
425.         $this->result = ldap_search( $this->connection, $checkDn, $this->getUserIdentifier() . "=$search");
426.         
427.         $info = ldap_get_entries( $this->connection, $this->result);
428.         for( $i = 0; $i < $info["count"]; $i++) {
429.             // Get the username, and create an array indexed by it...
430.             // Modify these as you see fit.
431.             $uname = $info[$i][$this->getUserIdentifier()][0];
432.             // add to the array for each attribute in my list
433.             for ( $j = 0; $j < count( $attributeArray); $j++) {
434.                 if (strtolower($attributeArray[$j]) == "dn") {
435.                     $userslist["$uname"]["$attributeArray[$j]"]      = $info[$i][strtolower($attributeArray[$j])];
436.                 } else {
437.                     $userslist["$uname"]["$attributeArray[$j]"]      = $info[$i][strtolower($attributeArray[$j])][0];
438.                 }
439.             }
440.         }
441.  
442.         if ( !@asort( $userslist)) {
443.             /* Sort into alphabetical order. If this fails, it's because there
444.             ** were no results returned (array is empty) - so just return false.
445.             */
446.             $this->ldapErrorCode = -1;
447.             $this->ldapErrorText = "No users found matching search criteria ".$search;
448.             return false;
449.         }
450.         return $userslist;
451.     }
452.  
453.     // 2.6 helper methods
454.     
455.     /**
456.      * Sets and returns the appropriate dn, based on whether there
457.      * are values in $this->people and $this->groups.
458.      *
459.      * @param boolean specifies whether to build a groups dn or a people dn 
460.      * @return string if true ou=$this->people,$this->dn, else ou=$this->groups,$this->dn
461.      */
462.     function setDn($peopleOrGroups) {
463.  
464.         if ($peopleOrGroups) {
465.             if ( isset($this->people) && (strlen($this->people) > 0) ) {
466.                 $checkDn = "ou=" .$this->people. ", " .$this->dn;
467.             }
468.         } else {
469.             if ( isset($this->groups) && (strlen($this->groups) > 0) ) {
470.                 $checkDn = "ou=" .$this->groups. ", " .$this->dn;
471.             }
472.         }
473.  
474.         if ( !isset($checkDn) ) {
475.             $checkDn = $this->dn;
476.         }
477.         return $checkDn;
478.     }
479.     
480.     /**
481.      * Returns the correct user identifier to use, based on the ldap server type
482.      */
483.     function getUserIdentifier() {
484.         if ($this->serverType == "ActiveDirectory") {
485.             return "samaccountname";
486.         } else {
487.             return "uid";
488.         }
489.     }
490. } // End of class
491. ?>

<script type="text/javascript">document.write('

');</script>