使用 PHP 从 Active Directory 获取用户组信息

<p>本文介绍了如何使用 PHP 从 Active Directory (AD) 中检索用户所属的组。重点讲解了使用 `memberOf` 属性进行高效查询的方法，并解释了 `member` 属性查询的限制以及 Active Directory 中属性索引的重要性。同时提供了示例代码，帮助开发者快速实现用户组信息的获取。</p> 在使用 PHP 连接 Active Directory 并获取用户所属的组时，开发者可能会遇到一些挑战。一种常见的方法是查找所有组，然后检查每个组的 `member` 属性是否包含目标用户。然而，这种方法效率较低，尤其是在大型 Active Directory 环境中。本文将介绍一种更有效的方法，并解释其背后的原理。 **理解 Active Directory 属性索引** 在 Active Directory 中，并非所有属性都默认建立索引。属性索引对于查询性能至关重要。如果尝试使用未索引的属性进行子字符串搜索，查询可能无法返回预期的结果，甚至可能超时。 在您提供的场景中，尝试使用 `member` 属性进行子字符串搜索失败，原因很可能是 `member` 属性没有配置子字符串索引。Active Directory 默认情况下不会为 `member` 属性创建索引，这意味着必须提供完整的 Distinguished Name (DN) 才能进行精确匹配。 要确定属性是否已建立索引，可以参考 Microsoft 的官方文档：[Indexed attributes in AD](https://learn.microsoft.com/en-us/windows/win32/adschema/attributes-indexed)。 也可以通过修改属性的 `searchFlags` 属性来指定索引。 但是，修改架构需要谨慎操作，并需要相应的权限。 **使用 `memberOf` 属性进行高效查询** Active Directory 提供了一个名为 `memberOf` 的属性，它简化了用户组信息的检索。`memberOf` 属性直接附加到用户对象上，并列出了该用户所属的所有组的 DN。使用 `memberOf` 属性进行查询通常比搜索所有组的 `member` 属性更有效，因为它利用了 Active Directory 的索引机制。 以下是如何使用 `memberOf` 属性在 PHP 中检索用户组的示例： ```php <?php // LDAP 连接信息 $ldapHost = 'your_ldap_host'; $ldapPort = 389; $ldapBaseDn = 'OU=Users,DC=server,DC=com'; $ldapUser = 'your_ldap_user'; $ldapPass = 'your_ldap_password'; $username = 'userdp08'; // 要查询的用户名 // 连接到 LDAP 服务器 $ldapConn = ldap_connect($ldapHost, $ldapPort) or die("Could not connect to LDAP server."); ldap_set_option($ldapConn, LDAP_OPT_PROTOCOL_VERSION, 3); ldap_set_option($ldapConn, LDAP_OPT_REFERRALS, 0); // 绑定到 LDAP 服务器 ldap_bind($ldapConn, $ldapUser, $ldapPass) or die("Could not bind to LDAP server."); // 构建 LDAP 查询 $filter = "(sAMAccountName=$username)"; $attributes = ['memberOf']; // 执行 LDAP 查询 $result = ldap_search($ldapConn, $ldapBaseDn, $filter, $attributes); if ($result === FALSE) { die("LDAP search failed: " . ldap_error($ldapConn)); } $entries = ldap_get_entries($ldapConn, $result); // 处理查询结果 if ($entries['count'] > 0) { if (isset($entries[0]['memberof'])) { $groups = $entries[0]['memberof']; // 打印用户所属的组 echo "User $username is a member of the following groups:\n"; for ($i = 0; $i < $groups['count']; $i++) { echo $groups[$i] . "\n"; } } else { echo "User $username is not a member of any groups.\n"; } } else { echo "User $username not found.\n"; } // 关闭 LDAP 连接 ldap_close($ldapConn); ?>

代码解释:

1. LDAP 连接信息: 修改 $ldapHost, $ldapPort, $ldapBaseDn, $ldapUser, $ldapPass 为你实际的 LDAP 服务器配置。
2. 连接到 LDAP 服务器: 使用 ldap_connect() 连接到 LDAP 服务器，并设置 LDAP 协议版本和 referrals 选项。
3. 绑定到 LDAP 服务器: 使用 ldap_bind() 使用户凭据绑定到 LDAP 服务器。
4. 构建 LDAP 查询: 构建 LDAP 查询，使用 sAMAccountName 属性查找用户。 sAMAccountName 通常是用户的登录名。 指定要检索的属性为 memberOf。
5. 执行 LDAP 查询: 使用 ldap_search() 执行 LDAP 查询。
6. 处理查询结果: 从查询结果中提取 memberOf 属性，并打印用户所属的组。

注意事项:

• 确保 PHP 已启用 LDAP 扩展。
• 替换示例代码中的占位符信息为您的实际 Active Directory 环境信息。
• 如果需要获取组的 cn（通用名称），您需要对每个组的 DN 执行额外的 LDAP 查询。

总结

通过利用 memberOf 属性，可以更有效地从 Active Directory 中检索用户组信息。理解 Active Directory 属性索引对于优化 LDAP 查询至关重要。避免使用未索引的属性进行子字符串搜索，尽可能使用精确匹配或使用已索引的属性。