Otentikasi PHP terhadap layanan LDAP

Saya melihat masalah ini banyak di berbagai skrip PHP yang terhubung ke layanan LDAP .. Masalah tidak terisolasi dengan lingkungan PHP saja, tapi untuk beberapa alasan aneh, pengembang PHP pada akhirnya mayoritas di perangkap ini, sedangkan pengembang untuk menggunakan bahasa pemrograman populer lainnya biasanya menangani masalah ini lebih baik.

Pengantar masalah

Otentikasi layanan LDAP sering menimbulkan tantangan bagi para pengembang yang terlibat dalam pengembangan layanan LDAP tergantung untuk pertama kalinya. Secara umum, input data Anda akan username dan password, sedangkan untuk otentikasi sukses LDAP Anda membutuhkan info yang berbeda: DN (nama dibedakan) dan password.
Jadi, agar dapat mengotentikasi kredensial pengguna terhadap layanan LDAP, Anda harus membuat hubungan antara nama pengguna sebagai variabel input dan DN sebagai parameter layanan LDAP mengharapkan.
Sekali lagi, layanan LDAP sangat spesifik dengan pendekatan terhadap pengguna, password dan otentikasi. Anda mungkin bisa mengambil DN menggunakan query seperti

<span onmouseover="_tipon(this)" onmouseout="_tipoff()"><span class="google-src-text" style="direction: ltr; text-align: left">(& (uid=username) (objectClass=person) )</span> (& (Uid = username) (objectClass = orang))</span>

1 2 3 4

(& (Uid = username) (ObjectClass = orang) )

... Bahkan ketika mengikat server Anda anonim. Tentu saja, itu tergantung pada konfigurasi layanan LDAP Anda, tapi itu tidak begitu jarang terjadi bahwa layanan LDAP memungkinkan informasi dasar seperti DN untuk dibaca melalui koneksi anonim. Harus itu diperbolehkan adalah diskusi untuk beberapa benar-benar kesempatan lain.
Tapi masalahnya dimulai hanya di sini.

Implementasi bermasalah otentikasi LDAP di aplikasi client

Lebih dari sering, pengembang dan sysadmin poin logika ke arah menyiapkan ACL dalam pelayanan LDAP dengan cara yang setidaknya satu (aplikasi spesifik) pengguna LDAP dapat menyapu pohon LDAP keseluruhan dan membaca atribut operasional (dalam hal ini userPassword, atau bidang lain yang berisi password pengguna).
Ide di balik ini adalah bahwa logika yang sama yang digunakan untuk mengikat bersama username dari input pengguna dengan informasi dari DN LDAP tidak juga validasi password.
Kemudian setelah DN ditemukan, aplikasi membaca userPassword (atau bidang lain yang berisi password pengguna di setup yang diberikan) dan membandingkannya dengan aplikasi apa berpikir password harus (aplikasi membuat hash password dengan sendirinya dari teks biasa sandi pengguna memberikan pada login , dan kemudian membandingkannya terhadap password terenkripsi [hash password untuk lebih tepatnya] ditarik dari LDAP):

PHP

<span onmouseover="_tipon(this)" onmouseout="_tipoff()"><span class="google-src-text" style="direction: ltr; text-align: left">/** * Wrongly validate LDAP credentials * * @param string $plaintext_password User-provided password on login * @param string $ldap_password Password retrieved from LDAP * @return bool */ function validateLdapCredentials($plaintext_password, $ldap_password) { $should_be_password = '{crypt}' .</span> / *** Salah memvalidasi kredensial LDAP ** @ param string $ plaintext_password Pengguna yang disediakan sandi pada login * @ param string $ ldap_password Sandi diambil dari LDAP * @ return bool * / fungsi validateLdapCredentials ($ plaintext_password, $ ldap_password) {$ should_be_password = '{crypt}'.</span> <span onmouseover="_tipon(this)" onmouseout="_tipoff()"><span class="google-src-text" style="direction: ltr; text-align: left">crypt($plaintext_password); if ($ldap_pass !== $should_be_password) { return (FALSE); } return (TRUE); }</span> crypt ($ plaintext_password), jika ($ ldap_pass == $ should_be_password!) {return (FALSE);} return (TRUE);}</span>

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

/ ** * Salah memvalidasi kredensial LDAP * * @ Param string $ plaintext_password Pengguna yang disediakan sandi pada login * @ Param string $ ldap_password Sandi diambil dari LDAP * @ Return bool * / fungsi validateLdapCredentials ($ plaintext_password, $ Ldap_password) {      $ Should_be_password = '{Crypt}' . crypt ($ plaintext_password);      jika ($ Ldap_pass ! == $ Should_be_password) {          kembali (FALSE);      }      kembali (TRUE); }

Dan voila! Masalah dipecahkan, bukan? Tanpa banyak komplikasi, aplikasi berhasil dikonfirmasi pengguna terhadap layanan LDAP.
Nah, terus kuda Anda Johhny. :)

Masalah dunia nyata dengan pendekatan di atas

Memang, kode seperti di atas mungkin tampak seperti sebuah pekerjaan dilakukan untuk Anda. Sama seperti mudahnya mungkin ternyata bahwa ia melakukan pekerjaan dengan sempurna. Tetapi ada beberapa masalah yang jelas dengan pendekatan ini:

1. Layanan LDAP mendukung setidaknya beberapa mekanisme hashing password. Contoh di atas menerapkan hanya satu (mekanisme hashing CRYPT), tetapi Anda harus menerapkan mereka semua dalam aplikasi Anda agar pendekatan ini berfungsi dengan baik (itu terlalu mudah untuk mencampur jenis hashing password ketika mengelola LDAP - semua alat administrasi yang layak untuk LDAP mendukung sebagian besar jika tidak semua mekanisme hashing sandi layanan LDAP Anda menyadari.
2. Anda mengandalkan pada kenyataan bahwa bahasa pemrograman atau kerangka pembangunan pilihan Anda telah benar-benar implementasi hashing yang sama seperti layanan LDAP Anda. Hal ini tidak perlu yang benar, meskipun dalam berbagai kasus penggunaan dunia nyata mungkin adalah.
   • Bahkan jika begitu saat ini, tidak mungkin dengan beberapa OS / jasa / update bahasa pemrograman server berikutnya. Keamanan adalah daerah yang berubah dengan cepat ilmu komputer dan praktek.
3. Anda, untuk tujuan ini setidaknya, sama sekali tidak perlu memungkinkan setidaknya satu pengguna dari layanan LDAP untuk membaca password pengguna. Meskipun mereka biasanya hash, saya harap Anda dapat melihat masalah dari pendekatan ini.

Dan akhirnya, solusi

Jika Anda telah diakui coding praktek Anda dalam contoh di atas, solusinya adalah jauh lebih mudah daripada yang Anda mungkin akan berpikir. :)
Alih-alih memiliki dedicated pengguna pada sistem LDAP Anda yang dapat membaca semua password pengguna ', Anda hanya perlu (demi otentikasi setidaknya) salah satu yang harus mampu membaca, tapi benar-benar, hanya uid (atau atribut setara yang memegang username pada setup anda) dan bidang DN dari LDAP.
Kemudian untuk memulai proses otentikasi Anda akan, sama seperti sebelumnya, mengikat sebagai pengguna khusus (atau bahkan tidak - seperti yang saya sebutkan di awal artikel - info yang mungkin hanya dapat dibaca oleh pengguna anonim mengikat pada LDAP layanan). Anda akan, lagi sama seperti sebelumnya, mencari DN berdasarkan masukan pengguna kolom username.
Namun, selisih dengan praktek sebelumnya, kali ini Anda tidak membaca isi kolom password.
Sebaliknya, Anda mengambil yang baru ditemukan DN dan mengikat sekali lagi untuk layanan LDAP dengan yang baru ditemukan DN   informasi dan password user-disediakan.
Jika mengambil DN gagal, pengguna tidak memasukkan username yang benar.
Jika mengikat dengan terbentuk dengan baik DN Anda telah diambil dari LDAP berdasarkan username dipasangkan dengan pengguna yang disediakan gagal password, pengguna memasukkan password yang salah (dengan asumsi, tentu saja, semua ok dengan LDAP layanan :)).
Dalam prakteknya, hal itu terlihat agak seperti ini:

PHP

<span onmouseover="_tipon(this)" onmouseout="_tipoff()"><span class="google-src-text" style="direction: ltr; text-align: left">// Application specific LDAP login $app_user = 'cn=phpapplication, dc=corporation, dc=com'; $app_pass = 'somepassword'; // User-provided info (either from _POST or any way else) // You should LDAP-escape $username here since it will be // used as a parameter for searches, but it's not a // subject of this article.</span> / / Aplikasi login LDAP spesifik $ app_user = 'cn = phpapplication, dc = perusahaan, dc = com'; $ app_pass = 'somepassword'; / / User-memberikan info (baik dari _POST atau cara lain) / / Anda harus LDAP -lolos $ username di sini karena akan / / digunakan sebagai parameter untuk pencarian, tapi itu bukan / / subjek artikel ini.</span> <span onmouseover="_tipon(this)" onmouseout="_tipoff()"><span class="google-src-text" style="direction: ltr; text-align: left">That one will follow soon.</span> Yang satu akan segera menyusul.</span> <span onmouseover="_tipon(this)" onmouseout="_tipoff()"><span class="google-src-text" style="direction: ltr; text-align: left">:-) $username = 'johndoe'; $password = 'johnspassword'; // Here we'll put user's DN $userdn = ''; // Connect to LDAP service $conn_status = ldap_connect('ldap.corporation.com', 389); if ($conn_status === FALSE) { die("Couldn't connect to LDAP service"); } // Bind as application $bind_status = ldap_bind($conn_status, $app_user, $app_pass); if ($bind_status === FALSE) { die("Couldn't bind to LDAP as application user"); } // Find the user's DN // See the note above about the need to LDAP-escape $username!</span> :-) $ Username = 'jono'; $ password = 'johnspassword'; / / Di sini kita akan menempatkan DN pengguna $ userdn =''; / / Koneksi ke layanan LDAP $ conn_status = ldap_connect ('ldap.corporation.com' , 389), jika ($ conn_status === FALSE) {die ("Tidak dapat terhubung ke layanan LDAP");} / / Bind sebagai aplikasi $ bind_status = ldap_bind ($ conn_status, $ app_user, $ app_pass), jika ( $ bind_status === FALSE) {die ("Tidak bisa mengikat LDAP sebagai pengguna aplikasi");} / / Cari DN pengguna / / Lihat catatan di atas tentang perlunya LDAP-lolos $ username!</span> <span onmouseover="_tipon(this)" onmouseout="_tipoff()"><span class="google-src-text" style="direction: ltr; text-align: left">$query = "(&(uid=" . $username . ")(objectClass=person))"; $search_base = "ou=People,ou=IT,dc=corporation,dc=com"; $search_status = ldap_search( $conn_status, $search_base, $query, array('dn') ); if ($search_status === FALSE) { die("Search on LDAP failed"); } // Pull the search results $result = ldap_get_entries($conn_status, $search_status); if ($result === FALSE) { die("Couldn't pull search results from LDAP"); } if ((int) @$result['count'] > 0) { // Definitely pulled something, we don't check here // for this example if it's more results than 1, // although you should.</span> $ Query = "(& (uid =" $ username ") (objectClass = orang)..)"; $ Search_base = "ou = People, ou = IT, dc = perusahaan, dc = com"; $ search_status = ldap_search ( $ conn_status, $ search_base, $ query, array ('dn')), jika ($ search_status === FALSE) {die ("Cari di LDAP gagal");} / / Pull hasil pencarian $ hasil = ldap_get_entries ($ conn_status, $ search_status), jika ($ hasil === FALSE) {die ("Tidak bisa menarik hasil pencarian dari LDAP");} if ((int) @ $ hasil ['count']> 0) {/ / Pasti menarik sesuatu, kita tidak memeriksa di sini / / untuk contoh ini jika hasil lebih dari 1, / / ​​meskipun Anda harus.</span> <span onmouseover="_tipon(this)" onmouseout="_tipoff()"><span class="google-src-text" style="direction: ltr; text-align: left">$userdn = $result[0]['dn']; } if (trim((string) $userdn) == '') { die("Empty DN. Something is wrong."); } // Authenticate with the newly found DN and user-provided password $auth_status = ldap_bind($conn_status, $userdn, $password); if ($auth_status === FALSE) { die("Couldn't bind to LDAP as user!"); } print "Authentication against LDAP succesful. Valid username and password provided.");</span> $ Userdn = $ hasil [0] ['dn'];} if (trim ((string) $ userdn) =='') {die ("DN Kosong sesuatu yang salah..");} / / Otentikasi dengan baru ditemukan DN dan user-disediakan sandi $ auth_status = ldap_bind ($ conn_status, $ userdn, $ password), jika ($ auth_status === FALSE) {die ("Tidak bisa mengikat LDAP sebagai user!");} cetak ". Otentikasi LDAP sukses username dan password Valid disediakan.");</span>

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61

/ / Aplikasi login LDAP tertentu $ App_user = 'Cn = phpapplication, dc = perusahaan, dc = com'; $ App_pass = 'Somepassword'; / / User-memberikan info (baik dari _POST atau cara lain) / / Anda harus LDAP-lolos $ username di sini karena akan / / Digunakan sebagai parameter untuk pencarian, tapi itu bukan / / Subyek artikel ini. Yang satu akan segera menyusul. :-) $ Username = 'Jono'; $ Password = 'Johnspassword'; / / Di sini kita akan menempatkan DN pengguna $ Userdn = ''; / / Koneksi ke layanan LDAP $ Conn_status = ldap_connect ('ldap.corporation.com', 389); jika ($ Conn_status === SALAH) {      die ("Tidak dapat terhubung ke layanan LDAP"); } / / Bind sebagai aplikasi $ Bind_status = ldap_bind ($ conn_status, $ App_user, $ App_pass); jika ($ Bind_status === SALAH) {      die ("Tidak bisa mengikat LDAP sebagai pengguna aplikasi"); } / / Cari DN pengguna / / Lihat catatan di atas tentang perlunya LDAP-lolos $ username! $ Query = "(& (Uid =" . $ Username . ") (ObjectClass = orang))"; $ Search_base = "Ou = People, ou = IT, dc = perusahaan, dc = com"; $ Search_status = ldap_search (      $ Conn_status, $ Search_base, $ Query, array ('dn') ); jika ($ Search_status === SALAH) {    die ("Cari di LDAP gagal"); } / / Pull hasil pencarian $ Hasil = ldap_get_entries ($ conn_status, $ Search_status); jika ($ Hasil === SALAH) {      die ("Tidak bisa menarik hasil pencarian dari LDAP"); } jika ((Int) @ $ Hasil ['count'] > 0) {      / / Pasti menarik sesuatu, kita tidak memeriksa di sini      / / Untuk contoh ini jika hasil lebih dari 1,      / / Meskipun Anda harus.      $ Userdn = $ Hasil [0] ['dn']; } jika (Trim ((string) $ Userdn) == '') {      die ("DN Kosong sesuatu yang salah.."); } / / Otentikasi dengan yang baru ditemukan DN dan user-diberikan kata sandi $ Auth_status = ldap_bind ($ conn_status, $ Userdn, $ Password); jika ($ Auth_status === SALAH) {      die ("Tidak bisa mengikat LDAP sebagai user!"); } mencetak ". Otentikasi LDAP sukses username dan password Valid disediakan.");

Tentu saja, Anda akan melakukannya dengan cara yang lebih elegan. Kode ini hanya sebuah mudah mengikuti contoh tentang bagaimana benar melakukan otentikasi LDAP dari PHP.
Harap Anda menikmati artikel ini, yang serupa lainnya akan mengikuti.

Author : loliktry

Share this

Related Posts