Discussion :

[nawak.seb]

Bonjour
Voilà, j'essai de lier le php avec l'ad, j'ai réussi a me connecter .
Au moment de l'identification du login et mot de passe, j'ai une erreur

No such attribute

j'ai compris que ça venai du mot de passe, il n'a pas d'attribut, j'ai pourtant essayé "userPassword" , ou encore "password" mais rien n'y fait.

Alors , la question que je me posse, est , quel est l'attribut du mot de passe ?
serait-il cripter ....
Merci d'avance pour vos réponses.

[Celira]

Bonjour

Sauf configuration spéciale de ton annuaire, le mot de passe s'écrit de façon classique. Pourrait-on avoir un brin de code ?

[nawak.seb]

Merci de me repondre
Voici mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
<?php 
 
// connexion ad
$ds = ldap_connect ("service.domaine.fr");
 
//non anonyme
$dn = "CN=nom,DC=domaine,DC=fr";
$pwd = "mdp";
 
if ($ds)
{
	if  ((!isset($_SERVER['PHP_AUTH_USER'])) || (!isset($_SERVER['PHP_AUTH_PW'])) || ( $_SERVER['PHP_AUTH_USER']."" == "" || $_SERVER['PHP_AUTH_PW']."" == "" )) 
		{
			   header('WWW-Authenticate: Basic realm="vous identifiez"');
			   header('HTTP/1.0 401 Unauthorized');
			   echo 'Acces annulé';
			   exit; 
		} 
	$bind = ldap_bind ($ds, $dn, $pwd);
 
if ($bind)
{	
	$mdp = $_SERVER["PHP_AUTH_PW"] ;
	$attr = "userPassword"; 
	$value = $mdp ;
 
	//comparaison du nom 
	$resultat = ldap_compare($ds, $dn, $attr, $value);
 
	//verif le mdp 
		if ($resultat === -1) 
			{
			echo "Erreur : ".ldap_error($ds);
			}
		elseif ($resultat === TRUE)
			{
			echo "Login correct";
			}	
		elseif ($resultat === FALSE)
			{
			echo "mdp errone";
			}
		else
	 		{
        	echo "Impossible de se connecter au serveur LDAP.";
    		}  
}
	//Fermeture de la connexion
	ldap_close ($ds);
}
?>

je bloque au niveau de l'attribut du mot de passe

[Celira]

Tu es sur que le nom de l'attribut est bien "userPassword" ?

[nawak.seb]

Non, justement, je ne sais pas c'est quoi,
j'ai mis "userPassword" car je l'ai vu sur le net !

Comment et ou je peu voir quel attribut est-il ?

[Celira]

Il faut que tu connaisses le nom des attributs disponibles sur ton annuaire LDAP. Tu n'as pas un exemple de données, quelque chose comme ça ?

Soit dit en passant, dans la mesure où tu es déjà attaché à l'annuaire par ldap_bind, à quoi tu sers cette vérification ?

[nawak.seb]

C'est possible que je me suis trompé sur toute la longueur,

Ceux que j'essai de mettre au point, c'est dans un cas d'un intranet.
Je veux me connecter a cette intranet en utilisant le login et le mot de passe de l'active directory.

Sinon je sais pas où je peu trouver un exemple de donnée, pour info, je peu peut etre utiliser ldp.exe pour avoir des infos.

Le ldap_bind me sert a verifier que je me connecte bien a l'ad !!...enfin, je crois

[nawak.seb]

Je relance le sujet , car je suis de nouveau sur le même problématique
Mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
<?php
/*-----------parameters pour la Connexion AD--------------*/
$host = "ldap://monentreprise.fr";
$user = $_POST["login"]."@monentreprise.fr";
$pass = $_POST["password"];
$ds = ldap_connect($host, 389) or die("La connexion a échouée!");	
    	/*----------------------Identification------------------------*/
        if ($ds) 
        {
			if(ldap_bind($ds))
			{			
					$dn = "CN=toto,OU=GPO Internet,DC=monentreprise,DC=fr"; 
					$value = $_POST["password"];
					$attr = "password"; 
					//comparaison  des valeurs
					$resultat = ldap_compare($ds, $dn, $attr, $value);
 
 
					if ($resultat === -1) 
					{
						echo "Erreur: " . ldap_error($ds);
					} elseif ($resultat === TRUE) 
					{
						echo "Password correct<br>";
 
					} elseif ($resultat === true) 
					{
							echo "Mot de passe incorrect ";
					}
 
			}else
			{
				echo 'erreur'; 
			}	
			ldap_close($ds);
 
         } else 
		 {
         	echo "Nom d'utilisateur ou mot de passe erroné .";
         }
?>

avec comme message d'erreur:

ldap_compare(): Compare: No such attribute

[Celira]

Toujours la même question : es-tu sûr du nom de ton attribut ?

[nawak.seb]

Toujours la même réponse, je ne sais pas où je dois aller pour vérifié son attribut !

Dans l'active directory ? ADSI EDIT ?

[Celira]

Je ne sais pas vraiment. Normalement l'utilisation d'un LDAP, c'est comme l'utilisation d'une base de données : tu connais la structure avant...

Il y a bien la fonction ldap_get_attributes, mais elle nécessite une recherche valide...

[nawak.seb]

J'ai suivi les conseil, du coup , j'ai du utiliser la ldap_search ,puis ldap_get_attributes.

Voici mes attributs :

objectClass
cn
sn
givenName
distinguishedName
instanceType
whenCreated
whenChanged
displayName
uSNCreated
memberOf
uSNChanged
homeMTA
proxyAddresses
homeMDB
mDBUseDefaults
mailNickname
protocolSettings
name
objectGUID
userAccountControl
badPwdCount
codePage
countryCode
badPasswordTime
lastLogoff
lastLogon
pwdLastSet
primaryGroupID
objectSid
adminCount
accountExpires
logonCount
sAMAccountName
sAMAccountType
showInAddressBook
legacyExchangeDN
userPrincipalName
objectCategory
dSCorePropagationData
lastLogonTimestamp
textEncodedORAddress
mail
msExchPoliciesIncluded
msExchHomeServerName
msExchALObjectVersion
msExchMailboxSecurityDescriptor
msExchUserAccountControl
msExchMailboxGuid

Comment trouver l'attribut du mot de passe ?

[ache93]

bonjour

j'aimerais savoir comment tu as fais pour afficher les attributs de l'annuaire .

merci d'avance

[rmarc]

Bonjour,

Pour voir les attributs Active Directory, il suffit à partir du controleur de domaine ou d'un PC où sont installés les outils d'administrations windows serveur, d'executer "mmc"

Dans la fenetre console, cliquez sur "fichier" puis "ajouter/supprimer un composant logiciel enfichable" puis cliquez sur le bouton "ajouter" dans la fenetre "ajouter/supprimer....."

Recherchez et sélectionnez le composant logiciel "schéma Active Directory"

fermez la fenetre puis "OK"

développez ensuite le schéma pour rechercher la classe "user"
cliquez dessus pour voir tous les attributs associés.

Pour en revenir à la première question posée, la réponse est dans la question !

D'après le code de nawak.seb, il y a une connexion faite sur le domaine avec un compte admin,( j'imagine ), et qui à l'air de réussir, puis une comparaison avec les attributs user et mdp d'un autre user..

Rien ne sert de faire une connexion avec un compte admin, autant le faire directement avec le compte en question.
Si la connexion au serveur LDAP réussi, c'est que le user et le mdp sont valide sinon la connexion au serveur LDAP échoue.

Si la connexion est faite avec un compte utilisateur de base, l'accès ne se fera qu'en lecture.

Si la connexion est faite avec un compte adminstrateur, l'accès se fera en lecture/ecriture

En concequence, tout le code que vous mettrez après la connexion au LDAP aura un impact en fonction du compte de connexion.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
 
<?php
 
// nom d'utilisateur
$identifiant = "Nom d'utilisateur";
 
// mot de passe utilisateur
$auth_pass = "Mot de passe utilisateur";
 
// nom de domaine
$domaine = "nom_de_domaine.org";
 
// serveur ldap
$ldap_server = "ldap://nom_du_serveur.nom_de_domaine.org";
 
// nom d'utilisateur + @ + nom de domaine
$auth_user = $identifiant."@".$domaine;
 
// nom de domaine dn
$base_dn = "DC=nom_de_domaine, DC=org";
 
// connexion au serveur ldap
if (!($connect=@ldap_connect($ldap_server))) {
     die("Could not connect to ldap server");
}
 
// resultat de connexion
 
if (!($bind=@ldap_bind($connect, $auth_user, $auth_pass))) {
// l'utilisateur ou le mdp est refusé
echo "Nom d'utilisateur ou mot de passe refusé !";
} else {
// l'utilisateur ou le mdp est accepté
echo "Utilisateur authentifié avec succès !";
}
 
?>

Bien entendu, vous récupérez l'identifiant et le mot de passe depuis la fenetre d'authentification ou depuis un formulaire.

Notez que la connexion au LDAP se fait sans cryptage et que le mot de passe transite en clair par le port TCP 389

Pour passer en SSL, il faut remplacer le "ldap" de la variable $ldap_server par "ldaps" et dans ce cas, le mot de passe transitera en crypté par le port TCP 636.

Assurez vous dans ce cas que les ports sont bien ouverts sinon la connexion echouera.

Précision: bien que l'atribut "userPassword" existe dans le schéma Active Directory, il ne stocke pas le mot de passe donc rien ne sert d'éssayer de faire des comparaisons.

C'est Kerberos qui se charge de valider ou non un utilisateur.
Et c'est justement le point fort de Microsoft au niveau de la sécurité.

A moins d'utiliser des outils intermédiaires, cracks et autre outils de piratages, il n'est normalement pas possible de récupérer ou de lire en clair le mot de passe. (même la console "Utilisateurs et Ordinateurs Active Directory" ne le fait pas)

Ceci dit, si quelqu'un connait la solution pour récupérer le mot de passe dans un attribut, je suis preneur a 10000%

N'oubliez pas de fermer la connexion LDAP à la fin de votre code.

J'espère que ça vous aura aidé car j'ai moi même planché plusieurs jours sur cette problématique.

[paillon]

Bonjour

Merci pour l'explication mais je suis encore dans le flou
vous avez dit " Si la connexion est faite avec un compte utilisateur de base, l'accès ne se fera qu'en lecture "
mais vous pouvez me dire encodant qu'est ce que je dois changer , j'utiliseplus le login et le password ???

SVP et merci d'avantage

[rmarc]

Bonjour,

Ce que je veux dire, c'est que lorsque l'on souhaite utiliser ACTIVE DIRECTORY pour s'authentifier via PHP, il n'est pas possible de comparer le mot de passe car il n'est stocké nulle part.

Le tout est de savoir pour quel besoin vous utilisez l'authentification d'active Directory ?

Est ce que vous souhaitez qu'Active Directory valide ou invalide une authentification pour qu'un utilisateur puise accéder à votre application web ?

Ou souhaitez vous ecrire dans Active Directory a partir de votre application web ?

Les 2 sont possibles. Quand je parle de compte utilisateur de base, je veux dire que sans les droits d'administration sur Active Directory, ce compte ne pourra pas écrire dans l'AD mais pourra lire tout le contenu.

Un compte admin, lui pourra lire et ecrire dans l'ad via php.

A toutes fin utiles, via PHP, il est donc possible de lire la liste des utilisateurs, des OU etc..et de tous les attributs associés: nom, prenom, adresse, telephone, mail etc... (SAUF LE MOT DE PASSE ) a condition de connaitre les attributs exact de votre propre AD et ce a partir d'un compte de base ou un compte Admin

Pour écrire dans l"AD, ou modifier les valeurs de ces mêmes attributs il faut avoir les droits d'Admin.

Ceci dit, si on a pas besoin de lire ou d'écrire dans l'AD et que l'on souhaite juste que AD valide un compte, il suffit de faire une connexion LDAP comme indiqué ligne 22 à 25 du code de mon précédent message par la fonction "ldap_connect" puis connecter avec le user et le mot de passe à authentifier avec la fonction "ldap_bind" (ligne 29).

La condition "IF" determinera si la connexion à réussie ou échouée.

Si la connexion réussi, cela sous-entend que le user et le mdp sont bons et que AD a validé la connexion.
Si la connexion échoue, cela sou-entend soit que les paramètres envoyés sont incorrects ou que AD a refusé la connexion.

Contrairement à la methode de comparaison du user et du mdp que l'on aurai fait sur une base LDAP Linux ou UNIX ou tout simplement dans une bdd MySQL, qui stocke la valeur des mdp dans une table (qu'elle soit cryptée ou non) Microsoft ne permet pas de lire le mot de passe.

Donc tout simplement, si la connexion réussi c'est OK
Si elle échoue, ce n'est pas OK

J'espère avoir été plus clair...

[binu14]

j'avais la même problématique et ai trouvé en cette réponse d'excellentes infos.
Je voulais donc le faire savoir et remercier rmarc pour ces détails.