通过Active Directory使用LDAP在PHP中进行身份验证

我正在寻找一种通过PHP（通过Active Directory作为提供者）通过LDAP验证用户身份的方法。理想情况下，它应该能够在IIS 7上运行（adLDAP在Apache上运行）。有谁做过类似的事情，并且成功了？

• 编辑：我更喜欢一个库/类，其中的代码已经准备就绪...如果有人已经发明了轮子，那就太愚蠢了。

当您只需要两行代码时，导入整个库似乎效率很低。

$ldap = ldap_connect("ldap.example.com");
if ($bind = ldap_bind($ldap, $_POST['username'], $_POST['password'])) {
  // log them in!
} else {
  // error message
}

您会认为，简单地在Active Directory中对用户进行身份验证将是一个非常简单的过程，而无需使用库即可在PHP中使用LDAP。但是有很多事情会使它变得非常复杂：

• 您必须验证输入。否则，将使用空的用户名/密码。
• 绑定时，应确保用户名/密码正确编码。
• 您应该使用TLS加密连接。
• 在发生故障的情况下，使用单独的LDAP服务器进行冗余。
• 如果身份验证失败，则获取提示性错误消息。

在大多数情况下，使用支持上述内容的LDAP库实际上更容易。最后，我最终滚动了自己的库来处理上述所有问题：LdapTools（嗯，不仅用于身份验证，它还可以做更多的事情）。可以如下使用：

use LdapTools\Configuration;
use LdapTools\DomainConfiguration;
use LdapTools\LdapManager;

$domain = (new DomainConfiguration('example.com'))
    ->setUsername('username') # A separate AD service account used by your app
    ->setPassword('password')
    ->setServers(['dc1', 'dc2', 'dc3'])
    ->setUseTls(true);
$config = new Configuration($domain);
$ldap = new LdapManager($config);

if (!$ldap->authenticate($username, $password, $message)) {
    echo "Error: $message";
} else {
    // Do something...
}

上面的authenticate调用将：

• 验证用户名或密码是否为空。
• 确保用户名/密码正确编码（默认为UTF-8）
• 如果其中一台发生故障，请尝试使用另一台LDAP服务器。
• 使用TLS加密身份验证请求。
• 如果失败，请提供其他信息（例如，锁定/禁用的帐户等）

也有其他库可以做到这一点（例如Adldap2）。但是，我感到被迫提供足够的信息，因为投票最多的答案实际上是一个安全风险，要依靠它来完成输入验证而不使用TLS。

我只是通过将用户凭据传递给ldap_bind（）来完成此操作。

http://php.net/manual/zh/function.ldap-bind.php

如果该帐户可以绑定到LDAP，则说明该帐户有效。如果不能，那不是。如果您要做的只是身份验证（而不是帐户管理），则看不到需要库。

我喜欢Zend_Ldap类，而没有Zend Framework，则只能在项目中使用该类。

PHP具有库：http : //ca.php.net/ldap

PEAR也有许多软件包：http : //pear.php.net/search.php? q=ldap&in=packages& x=0&y=0

我也没有用过，但是我要去某个地方，他们似乎应该工作。

对于那些正在寻找完整示例的用户，请访问http://www.exchangecore.com/blog/how-use-ldap-active-directory-authentication-php/。

我已经测试了从Windows Server 2003 Web服务器（IIS6）和运行IIS 8的Windows Server 2012企业版同时连接到Windows Server 2003和Windows Server 2008 R2域控制器的性能。