[LDAP] Attribut pour mot de passe

[nawak.seb]

Bonjour
Voilà, j'essai de lier le php avec l'ad, j'ai réussi a me connecter .
Au moment de l'identification du login et mot de passe, j'ai une erreur

Citation:

No such attribute

j'ai compris que ça venai du mot de passe, il n'a pas d'attribut, j'ai pourtant essayé "userPassword" , ou encore "password" mais rien n'y fait.

Alors , la question que je me posse, est , quel est l'attribut du mot de passe ?
serait-il cripter ....
Merci d'avance pour vos réponses.

[Celira]

Bonjour

Sauf configuration spéciale de ton annuaire, le mot de passe s'écrit de façon classique. Pourrait-on avoir un brin de code ?

[nawak.seb]

Merci de me repondre
Voici mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
<?php 
 
// connexion ad
$ds = ldap_connect ("service.domaine.fr");
 
//non anonyme
$dn = "CN=nom,DC=domaine,DC=fr";
$pwd = "mdp";
 
if ($ds)
{
	if  ((!isset($_SERVER['PHP_AUTH_USER'])) || (!isset($_SERVER['PHP_AUTH_PW'])) || ( $_SERVER['PHP_AUTH_USER']."" == "" || $_SERVER['PHP_AUTH_PW']."" == "" )) 
		{
			   header('WWW-Authenticate: Basic realm="vous identifiez"');
			   header('HTTP/1.0 401 Unauthorized');
			   echo 'Acces annulé';
			   exit; 
		} 
	$bind = ldap_bind ($ds, $dn, $pwd);
 
if ($bind)
{	
	$mdp = $_SERVER["PHP_AUTH_PW"] ;
	$attr = "userPassword"; 
	$value = $mdp ;
 
	//comparaison du nom 
	$resultat = ldap_compare($ds, $dn, $attr, $value);
 
	//verif le mdp 
		if ($resultat === -1) 
			{
			echo "Erreur : ".ldap_error($ds);
			}
		elseif ($resultat === TRUE)
			{
			echo "Login correct";
			}	
		elseif ($resultat === FALSE)
			{
			echo "mdp errone";
			}
		else
	 		{
        	echo "Impossible de se connecter au serveur LDAP.";
    		}  
}
	//Fermeture de la connexion
	ldap_close ($ds);
}
?>

je bloque au niveau de l'attribut du mot de passe

[Celira]

Tu es sur que le nom de l'attribut est bien "userPassword" ?

[nawak.seb]

Non, justement, je ne sais pas c'est quoi,
j'ai mis "userPassword" car je l'ai vu sur le net !

Comment et ou je peu voir quel attribut est-il ?

[Celira]

Il faut que tu connaisses le nom des attributs disponibles sur ton annuaire LDAP. Tu n'as pas un exemple de données, quelque chose comme ça ?

Soit dit en passant, dans la mesure où tu es déjà attaché à l'annuaire par ldap_bind, à quoi tu sers cette vérification ?

[nawak.seb]

C'est possible que je me suis trompé sur toute la longueur,

Ceux que j'essai de mettre au point, c'est dans un cas d'un intranet.
Je veux me connecter a cette intranet en utilisant le login et le mot de passe de l'active directory.

Sinon je sais pas où je peu trouver un exemple de donnée, pour info, je peu peut etre utiliser ldp.exe pour avoir des infos.

Le ldap_bind me sert a verifier que je me connecte bien a l'ad !!...enfin, je crois

[nawak.seb]

Je relance le sujet , car je suis de nouveau sur le même problématique
Mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
<?php
/*-----------parameters pour la Connexion AD--------------*/
$host = "ldap://monentreprise.fr";
$user = $_POST["login"]."@monentreprise.fr";
$pass = $_POST["password"];
$ds = ldap_connect($host, 389) or die("La connexion a échouée!");	
    	/*----------------------Identification------------------------*/
        if ($ds) 
        {
			if(ldap_bind($ds))
			{			
					$dn = "CN=toto,OU=GPO Internet,DC=monentreprise,DC=fr"; 
					$value = $_POST["password"];
					$attr = "password"; 
					//comparaison  des valeurs
					$resultat = ldap_compare($ds, $dn, $attr, $value);
 
 
					if ($resultat === -1) 
					{
						echo "Erreur: " . ldap_error($ds);
					} elseif ($resultat === TRUE) 
					{
						echo "Password correct<br>";
 
					} elseif ($resultat === true) 
					{
							echo "Mot de passe incorrect ";
					}
 
			}else
			{
				echo 'erreur'; 
			}	
			ldap_close($ds);
 
         } else 
		 {
         	echo "Nom d'utilisateur ou mot de passe erroné .";
         }
?>

avec comme message d'erreur:

Citation:

ldap_compare(): Compare: No such attribute

[Celira]

Toujours la même question : es-tu sûr du nom de ton attribut ?

[nawak.seb]

Toujours la même réponse, je ne sais pas où je dois aller pour vérifié son attribut !

Dans l'active directory ? ADSI EDIT ?

[Celira]

Je ne sais pas vraiment. Normalement l'utilisation d'un LDAP, c'est comme l'utilisation d'une base de données : tu connais la structure avant...

Il y a bien la fonction ldap_get_attributes, mais elle nécessite une recherche valide...

[nawak.seb]

J'ai suivi les conseil, du coup , j'ai du utiliser la ldap_search ,puis ldap_get_attributes.

Voici mes attributs :

Citation:

objectClass
cn
sn
givenName
distinguishedName
instanceType
whenCreated
whenChanged
displayName
uSNCreated
memberOf
uSNChanged
homeMTA
proxyAddresses
homeMDB
mDBUseDefaults
mailNickname
protocolSettings
name
objectGUID
userAccountControl
badPwdCount
codePage
countryCode
badPasswordTime
lastLogoff
lastLogon
pwdLastSet
primaryGroupID
objectSid
adminCount
accountExpires
logonCount
sAMAccountName
sAMAccountType
showInAddressBook
legacyExchangeDN
userPrincipalName
objectCategory
dSCorePropagationData
lastLogonTimestamp
textEncodedORAddress
mail
msExchPoliciesIncluded
msExchHomeServerName
msExchALObjectVersion
msExchMailboxSecurityDescriptor
msExchUserAccountControl
msExchMailboxGuid

Comment trouver l'attribut du mot de passe ?

[ache93]

bonjour

j'aimerais savoir comment tu as fais pour afficher les attributs de l'annuaire .

merci d'avance

[rmarc]

Bonjour,

Pour voir les attributs Active Directory, il suffit à partir du controleur de domaine ou d'un PC où sont installés les outils d'administrations windows serveur, d'executer "mmc"

Dans la fenetre console, cliquez sur "fichier" puis "ajouter/supprimer un composant logiciel enfichable" puis cliquez sur le bouton "ajouter" dans la fenetre "ajouter/supprimer....."

Recherchez et sélectionnez le composant logiciel "schéma Active Directory"

fermez la fenetre puis "OK"

développez ensuite le schéma pour rechercher la classe "user"
cliquez dessus pour voir tous les attributs associés.

Pour en revenir à la première question posée, la réponse est dans la question !

D'après le code de nawak.seb, il y a une connexion faite sur le domaine avec un compte admin,( j'imagine ), et qui à l'air de réussir, puis une comparaison avec les attributs user et mdp d'un autre user..

Rien ne sert de faire une connexion avec un compte admin, autant le faire directement avec le compte en question.
Si la connexion au serveur LDAP réussi, c'est que le user et le mdp sont valide sinon la connexion au serveur LDAP échoue.

Si la connexion est faite avec un compte utilisateur de base, l'accès ne se fera qu'en lecture.

Si la connexion est faite avec un compte adminstrateur, l'accès se fera en lecture/ecriture

En concequence, tout le code que vous mettrez après la connexion au LDAP aura un impact en fonction du compte de connexion.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
 
<?php
 
// nom d'utilisateur
$identifiant = "Nom d'utilisateur";
 
// mot de passe utilisateur
$auth_pass = "Mot de passe utilisateur";
 
// nom de domaine
$domaine = "nom_de_domaine.org";
 
// serveur ldap
$ldap_server = "ldap://nom_du_serveur.nom_de_domaine.org";
 
// nom d'utilisateur + @ + nom de domaine
$auth_user = $identifiant."@".$domaine;
 
// nom de domaine dn
$base_dn = "DC=nom_de_domaine, DC=org";
 
// connexion au serveur ldap
if (!($connect=@ldap_connect($ldap_server))) {
     die("Could not connect to ldap server");
}
 
// resultat de connexion
 
if (!($bind=@ldap_bind($connect, $auth_user, $auth_pass))) {
// l'utilisateur ou le mdp est refusé
echo "Nom d'utilisateur ou mot de passe refusé !";
} else {
// l'utilisateur ou le mdp est accepté
echo "Utilisateur authentifié avec succès !";
}
 
?>

Bien entendu, vous récupérez l'identifiant et le mot de passe depuis la fenetre d'authentification ou depuis un formulaire.

Notez que la connexion au LDAP se fait sans cryptage et que le mot de passe transite en clair par le port TCP 389

Pour passer en SSL, il faut remplacer le "ldap" de la variable $ldap_server par "ldaps" et dans ce cas, le mot de passe transitera en crypté par le port TCP 636.

Assurez vous dans ce cas que les ports sont bien ouverts sinon la connexion echouera.

Précision: bien que l'atribut "userPassword" existe dans le schéma Active Directory, il ne stocke pas le mot de passe donc rien ne sert d'éssayer de faire des comparaisons.

C'est Kerberos qui se charge de valider ou non un utilisateur.
Et c'est justement le point fort de Microsoft au niveau de la sécurité.

A moins d'utiliser des outils intermédiaires, cracks et autre outils de piratages, il n'est normalement pas possible de récupérer ou de lire en clair le mot de passe. (même la console "Utilisateurs et Ordinateurs Active Directory" ne le fait pas)

Ceci dit, si quelqu'un connait la solution pour récupérer le mot de passe dans un attribut, je suis preneur a 10000%

N'oubliez pas de fermer la connexion LDAP à la fin de votre code.

J'espère que ça vous aura aidé car j'ai moi même planché plusieurs jours sur cette problématique.