Autenticación en PHP usando LDAP a través de Active Directory

Estoy buscando una forma de autenticar usuarios a través de LDAP con PHP (con Active Directory como proveedor). Idealmente, debería poder ejecutarse en IIS 7 ( adLDAP lo hace en Apache). ¿Alguien había hecho algo similar, con éxito?

• Editar: Preferiría una biblioteca / clase con código que esté listo para funcionar ... Sería una tontería inventar la rueda cuando alguien ya lo ha hecho.

Importar una biblioteca completa parece ineficaz cuando todo lo que necesita son esencialmente dos líneas de código ...

$ldap = ldap_connect("ldap.example.com");
if ($bind = ldap_bind($ldap, $_POST['username'], $_POST['password'])) {
  // log them in!
} else {
  // error message
}

Pensaría que simplemente autenticar a un usuario en Active Directory sería un proceso bastante simple usando LDAP en PHP sin la necesidad de una biblioteca. Pero hay muchas cosas que pueden complicarlo bastante rápido:

• Debe validar la entrada. De lo contrario, pasaría un nombre de usuario / contraseña vacío.
• Debe asegurarse de que el nombre de usuario / contraseña esté codificado correctamente al realizar el enlace.
• Debería cifrar la conexión mediante TLS.
• Usar servidores LDAP separados para redundancia en caso de que uno no funcione.
• Recibiendo un mensaje de error informativo si falla la autenticación.

De hecho, en la mayoría de los casos es más fácil utilizar una biblioteca LDAP que admita lo anterior. Finalmente terminé lanzando mi propia biblioteca que maneja todos los puntos anteriores: LdapTools (Bueno, no solo para la autenticación, puede hacer mucho más). Se puede usar de la siguiente manera:

use LdapTools\Configuration;
use LdapTools\DomainConfiguration;
use LdapTools\LdapManager;

$domain = (new DomainConfiguration('example.com'))
    ->setUsername('username') # A separate AD service account used by your app
    ->setPassword('password')
    ->setServers(['dc1', 'dc2', 'dc3'])
    ->setUseTls(true);
$config = new Configuration($domain);
$ldap = new LdapManager($config);

if (!$ldap->authenticate($username, $password, $message)) {
    echo "Error: $message";
} else {
    // Do something...
}

La llamada de autenticación anterior:

• Valide que ni el nombre de usuario ni la contraseña estén vacíos.
• Asegúrese de que el nombre de usuario / contraseña esté codificado correctamente (UTF-8 por defecto)
• Pruebe con un servidor LDAP alternativo en caso de que uno no funcione.
• Cifre la solicitud de autenticación mediante TLS.
• Proporcione información adicional si falló (es decir, cuenta bloqueada / deshabilitada, etc.)

También hay otras bibliotecas para hacer esto (como Adldap2). Sin embargo, me sentí lo suficientemente obligado a proporcionar información adicional ya que la respuesta más votada es en realidad un riesgo de seguridad en el que confiar sin validación de entrada y sin usar TLS.

Hago esto simplemente pasando las credenciales de usuario a ldap_bind ().

http://php.net/manual/en/function.ldap-bind.php

Si la cuenta se puede vincular a LDAP, es válida; si no puede, no lo es. Si todo lo que está haciendo es autenticación (no administración de cuentas), no veo la necesidad de una biblioteca.

Me gusta la clase Zend_Ldap , puede usar solo esta clase en su proyecto, sin Zend Framework.

PHP tiene bibliotecas: http://ca.php.net/ldap

PEAR también tiene varios paquetes: http://pear.php.net/search.php?q=ldap&in=packages&x=0&y=0

Tampoco he usado, pero iba a hacerlo en un momento y parecía que deberían funcionar.

Para aquellos que buscan un ejemplo completo, consulte http://www.exchangecore.com/blog/how-use-ldap-active-directory-authentication-php/ .

He probado esto conectándome a controladores de dominio de Windows Server 2003 y Windows Server 2008 R2 desde un servidor web de Windows Server 2003 (IIS6) y desde una empresa de Windows Server 2012 que ejecuta IIS 8.