Discussion :

[hpl76]

Bonjour,

Je cherche le moyen d'afficher en local (dans un 1er temps) le login du compte windows (donc mon username en l'occurence) via php

A terme je souhaite mettre en place un SSO entre mon AD et mon intranet (pour éviter une nouvelle connexion)

J'ai essayé plusieurs petites choses, en vain...

Merci pour l'éventuel partage de vos connaissances

hpl76.

[Bovino]

Conceptuellement, c'est une grosse erreur de sécurité !
Une application Web (donc un code qui doit être considéré comme non sûr) n'a jamais à avoir accès aux données du poste de l'utilisateur !
Et PHP n'a pas à faire la différence entre application locale ou distante : c'est un serveur qui l'utilise, c'est tout.

[hpl76]

Bonjour,

Ok Bovino. Tu as une alternative à me/nous proposer ?

A part comme ça, je ne vois pas comment on peut faire pour ne pas se relogguer.

Le fait de se relogguer dans un même domaine peut être pénible pour l'utilisateur. Tu me suis ?

hpl76

[Spartacusply]

Hello !

Dans un environnement maitrisé (c-a-d sécurisé, où le nombre d'utilisateur est connu, typiquement un intranet ), il me paraît envisageable de tenter de récupérer le login windows pour authentifier l'utilisateur. Cela peut passer par une authentification NTLM

Voici le script que j'utilise pour récupérer le login windows :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
/**
 * Essaye de récupérer le login windows
 * @return String Login windows si réussi, false si la tentative de récupération a échoué
 */
function connexionWindows() {
    $browser = getBrowser();
    // Si l'utilisateur n'utilise pas windows, ou si le navigateur n'est pas chrome ni IE, échoue
    if ($browser['platform'] != 'windows' OR ( $browser['name'] != 'Google Chrome' AND $browser['name'] != 'Internet Explorer')) {
        return false;
    }
 
    $headers = apache_request_headers(); // Récupération des l'entêtes client
 
    if (@$_SERVER['HTTP_VIA'] != NULL) { // nous verifions si un proxy est utilisé : parceque l'identification par ntlm ne peut pas passer par un proxy
        return false;
    } elseif (!isset($headers['Authorization'])) { //si l'entete autorisation est inexistante
        header("HTTP/1.1 401 Unauthorized"); //envoi au client le mode d'identification
        header("Connection: Keep-Alive");
        header("WWW-Authenticate: Negotiate");
        header("WWW-Authenticate: NTLM"); //dans notre cas le NTLM
        exit;
    }
 
    if (!isset($headers['Authorization'])) {
        return false;
    }
 
    if (substr($headers['Authorization'], 0, 5) != 'NTLM ') {
        return false; // on vérifie que le client soit en NTLM
    }
 
    $chaine = $headers['Authorization'];
    $chaine = substr($chaine, 5); // recuperation du base64-encoded type1 message
    $chained64 = base64_decode($chaine); // decodage base64 dans $chained64
    if (ord($chained64{8}) == 1) {
        $retAuth = "NTLMSSP" . chr(000) . chr(002) . chr(000) . chr(000) . chr(000) . chr(000) . chr(000) . chr(000);
        $retAuth .= chr(000) . chr(040) . chr(000) . chr(000) . chr(000) . chr(001) . chr(130) . chr(000) . chr(000);
        $retAuth .= chr(000) . chr(002) . chr(002) . chr(002) . chr(000) . chr(000) . chr(000) . chr(000) . chr(000);
        $retAuth .= chr(000) . chr(000) . chr(000) . chr(000) . chr(000) . chr(000) . chr(000);
        $retAuth64 = base64_encode($retAuth); // encode en base64
        $retAuth64 = trim($retAuth64); // enleve les espaces de debut et de fin
        header("HTTP/1.1 401 Unauthorized"); // envoi le nouveau header
        header("WWW-Authenticate: NTLM $retAuth64"); // avec l'identification supplémentaire
        exit;
    } else if (ord($chained64{8}) == 3) {
        $lenght_domain = (ord($chained64[31]) * 256 + ord($chained64[30])); // longueur du domain
        $offset_domain = (ord($chained64[33]) * 256 + ord($chained64[32])); // position du domain.
        $domain = str_replace("\0", "", substr($chained64, $offset_domain, $lenght_domain)); // decoupage du du domain
 
        $lenght_login = (ord($chained64[39]) * 256 + ord($chained64[38])); // longueur du login.
        $offset_login = (ord($chained64[41]) * 256 + ord($chained64[40])); // position du login.
        $login = str_replace("\0", "", substr($chained64, $offset_login, $lenght_login)); // decoupage du login
        if (!empty($login)) {
            return $login;
        }
    }
    return false;
}
 
/**
 * Récupère le type de navigateur de l'utilisateur avec sa version, son 
 * @return array Tableau contenant des informations sur le navigateur de l'utilisateur
 */
function getBrowser() {
    $uAgent = $_SERVER['HTTP_USER_AGENT'];
    $platform = 'unknown';
    $bname = 'unknown';
 
    if (preg_match('/linux/i', $uAgent)) {
        $platform = 'linux';
    } elseif (preg_match('/macintosh|mac os x/i', $uAgent)) {
        $platform = 'mac';
    } elseif (preg_match('/windows|win32/i', $uAgent)) {
        $platform = 'windows';
    }
 
    // Next get the name of the useragent yes seperately and for good reason
    if (preg_match('/Firefox/i', $uAgent)) {
        $bname = 'Mozilla Firefox';
    } elseif (preg_match('/Chrome/i', $uAgent)) {
        $bname = 'Google Chrome';
    } elseif (preg_match('/Safari/i', $uAgent)) {
        $bname = 'Apple Safari';
    } elseif (preg_match('/Opera/i', $uAgent)) {
        $bname = 'Opera';
    } elseif (preg_match('/Netscape/i', $uAgent)) {
        $bname = 'Netscape';
    } else if (preg_match('/MSIE/i', $uAgent) OR ( preg_match('/Windows NT/i', $uAgent) AND preg_match('/Trident/i', $uAgent))) {
        $bname = 'Internet Explorer';
    }
 
    return array(
        'name' => $bname,
        'platform' => $platform
    );
}

Après si j'arrive à récupérer le login Windows, je regarde s'il existe dans l'AD et je connecte ou non l'utilisateur en fonction. Si pour une quelconque raison l'authentification NTLM échoue, je repasse par un formulaire classique qui interrogera l'AD directement.

A noter que pour firefox, celui-ci interdit l'authentification NTLM par défaut il faut aller changer un paramètre de conf (dans le about:config), pour que celui-ci l'autorise (https://www.google.fr/#q=ntlm%20firefox)

[hpl76]

Bonjour et merci pour ton aide et soutien à la cause PHP Spartacusply.

Je m'étais tourné vers cela en effet, le NTLM

Mon autre problématique est que je cherche à matcher cette info à mon active directory via php ldap mais je coince du coup je suis reparti d'un script très simple que voici (si tu peux jeter un oeil et me dire ce qui coince ce serait cool )

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
<?php
 $ldap = ldap_connect("IP");
    if ($ldap && $bind = ldap_bind($ldap, "ldapuser@society.extension", "ldappassword")) {
                $query = ldap_search($ldap, "CN=specu,OU=special groups,DC=society,DC=extension", "CN=*");
                $data = ldap_get_entries($ldap, $query);
                for ($i=0; $i < $data['count']; $i++) {
                        print_r($data[$i]['member']);
                        echo "\n\n";    
                }
    }
?>

Si je retire CN=specu ça me renvoie tous les CN sous special groups.

Autrement (donc avec CN=specu) j'ai une erreur, il me met :
Warning: ldap_search() [function.ldap-search]: Search: No such object in C:\wamp\www\hpl76\ad.php on line 5

Sérieux je vois pas car dans mon AD j'ai bien des objets member avec des values en face commençant par CN. Par exemple CN=hpl76,OU=..."?

Grrrr...chronophage ce souci.

hpl76

[Spartacusply]

Très probablement que la version du protocole LDAP utilisé par ton serveur est la version 3 (c'est la version utilisée de manière générale). Par défaut c'est la version 2 qui est utilisée en PHP, il faut donc lui spécifier :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION, 3);

[hpl76]

Re/Merci !

J'avais déjà rajouté ça, en vain

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION, 3);
ldap_set_option($ldap, LDAP_OPT_REFERRALS, 0 );

Je vois pas ce qui cloche là

[Spartacusply]

Y a pas 36 solutions : CN=specu n'existe pas dans sous-groupe ou tu n'as pas la permission d'y accéder.

Tu l'as vérifié de manière graphique (avec un explorateurLDAP) ? Il faut que le DN soit parfaitement exact.

Voici ma manière de rechercher un utilisateur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
function connexionLdap($login) {
    $loginLdap = '*******';
    $passwordLdap = '********';
 
    $ldap = ldap_connect("serveurldap.fr");
 
    ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION, 3);
    $ldapbind = ldap_bind($ldap, $loginLdap, $passwordLdap);
 
    //Si la connexion au LDAP a échoué, l'authentification échoue
    if (!$ldapbind) {
        return false;
    }
 
    //On recherche un membre possédant le login passé en paramètre dans une base DN donnée
    $cnPersonne = ldap_search($ldap, "CN=group,OU=Liste des Groupes,DC=society,DC=extension","(sAMAccountName=$login)", array('member'));
 
    // Si aucune personne n'a été trouvé l'authentification échoue
    if (ldap_count_entries($ldap, $cnPersonne) == 0) {
        return false;
    }
 
    $cnPersonne = ldap_first_entry($ldap, $cnPersonne);
 
    $dnPersonne = ldap_get_dn($ldap, $cnPersonne);
 
    $personne = ldap_search($ldap, $dnPersonne, "cn=*");
    $personne = ldap_get_entries($ldap, $personne);
    $personne = $personne[0];
 
    return $personne;
}

[hpl76]

Mince j'peux pas cliquer plusieurs fois sur le petit pouce vert

Ta fonction marche à merveille, je vais bien la disséquer pour tout comprendre.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ldap_search($ldap, "CN=group,OU=Liste des Groupes,DC=society,DC=extension","(sAMAccountName=$login)", array('member'));

Tu peux m'expliquer d'avantage cette syntaxe ?

Sinon pour mon groupe oui, la chaîne c'est bien : CN=specu,OU=special groups,DC=society,DC=extension

J'aimerai comprendre, la liste de mes attributs commence par :

groupType
instanceType
...
objectClass
cn
...
member => value CN = ...
member => value CN = ...
member => value CN = ...
...
www

problème si c'est un groupe dynamique ?

hpl76

Ps : encore un grand merci à toi pour ton aide.

[hpl76]

Bonjour Spartacusply,

Pour anticiper le demain je voudrais savoir si tu sais s'il est possible de remonter le mot de passe depuis ldap ? J'ai vu dans le sAMAccountName un attribut password mais il semble vide (à moins que ce soit normal)

Connais-tu le cryptage d'un mot de passe car je voudrais écraser le mot de passe applicatif par celui du ldap de façon à être iso ?

Encore un grand MERCI pour ta précieuse aide (pour moi et les autres)

hpl76

[Spartacusply]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ldap_search($ldap, "CN=group,OU=Liste des Groupes,DC=society,DC=extension","(sAMAccountName=$login)", array('member'));

Tu peux m'expliquer d'avantage cette syntaxe ?

Pour revenir sur cette question, j'applique la doc à la lettre : je regarde dans le dossier qui possède la base dn que j'indique, j'applique un filtre (sur le samaaccountname) en utilisant la bonne syntaxe, et je ne retourne que les 'member' (je veux pas de sous-groupes par exemple).

Pour anticiper le demain je voudrais savoir si tu sais s'il est possible de remonter le mot de passe depuis ldap ? J'ai vu dans le sAMAccountName un attribut password mais il semble vide (à moins que ce soit normal)

Connais-tu le cryptage d'un mot de passe car je voudrais écraser le mot de passe applicatif par celui du ldap de façon à être iso ?

Je ne sais pas s'il est possible de remonter le mot de passe du LDAP mais c'est dans tous les cas c'est une mauvaise idée ! Au moins pour deux raisons, niveau sécurité c'est jamais bien de remonter/visualiser un mot de passe, même crypté, dès qu'on le possède ça veut dire qu'on peut tenter de le cracker autrement que par la bruteforce. Et également tu décentralises le mécanisme d'authentification (alors que le mot d'ordre du LDAP est "centralisation" justement) en dupliquant des mots de passe qui se doivent d'être synchronisés et ça non plus c'est jamais bon.


Moins y à de synchro à faire, mieux on se porte

[hpl76]

donc ce que tu préconises dans mon cas (qui s'appuie sur un intranet en wordpress) c'est de ne pas répliquer les mots de passe mais qu'après avoir récupéré le login de la session windows courante (pour matcher avec le ldap) c'est de chuinter la partie mot de passe ? C'est bien ça qu'il faut que je comprenne ?

hpl76

[Spartacusply]

C'est ça, tu peux considérer que si tu arrives à récupérer le login, c'est bien cette personne là qui est sur le PC. Après dans ta base de données Wordpress, la connexion par rapport au LDAP peut se faire via le login (ou mieux sur un matricule commun au LDAP si le login est amené à changer).

Tu n'as ainsi qu'à stocker le login dans ta base de données wordpress (plus d'autres informations spécifique à l'application en question évidemment).

Mais l'authentification doit toujours passer par le ldap !

[hpl76]

BIG UP A TOI Spartacusply, réponses claires, rapides et concises, c'est un régal !

Encore un pouce vert et un p'tit résolu

hpl76

[hpl76]

Hello,

Je me permets de rouvrir ce topic car je rencontre un souci avec le code quand je cherche à passer de l'extérieur en https.

Ca me renvoie une erreur 403. Quand je suis sur le lan je n'ai pas ce souci...Quelqu'un a une idée/a déjà rencontré ce souci/peux m'aider ?

Par avance merci

hpl76

[Spartacusply]

Hello,

cette erreur d'accès via l'extranet est tout à fait logique, car le NTLM ne fonctionne pas en HTTPS (ce qui est un peu normal et bienvenue étant donné que tout est encapsulé et crypté quand on utilise ce protocole).

De toutes façons, l'authentification NTLM DOIT échouer quand tu passes via l'extranet, ne serait-ce que simplement pour des raisons sécuritaires, donc pas la peine de se creuser la tête à trouver une solution. Quand tu détectes que c'est une connexion externe, tu zappes simplement la tentative d’authentification par NTLM et tu repasses par un classique formulaire login/motdepasse.

[Lekno]

J'avais recherché dans le cadre d'un travail en cours plusieurs façon de faire du SSO si tu veux y jeter un œil

http://www.laintimes.com/authentific...eur-web-linux/
http://www.laintimes.com/authentific...depuis-debian/

[hpl76]

Hey !

Je comprends les enjeux et la problématique relative à la sécurité mais ça me chagrine de voir qu'il n'y a pas de solutions à ce problème

Il n'existe vraiment pas d'alternative ?

Merci à vous pour vos réponses et liens aussi.

hpl76

[Spartacusply]

Ben si, la solution c'est que quand tu passes via extranet alors tu reviens sur un classique formulaire d'authentification (qui lui aussi interrogera le serveur LDAP).

[hpl76]

Bonjour et merci Spartacusply !

Oui quand j'entendais une solution alternative c'était une solution sans avoir à se relogguer...mais apparemment ça n'a pas l'air faisable et une fois les données cryptées j'imagine que l'algo inverse est pas envisageable...? Et en même temps ca sous-entend de passer à la moulinette tous les users de l'AD

hpl76