针对LDAP服务器进行身份验证
编辑该页面针对LDAP服务器进行身份验证
ob娱乐下载Symfony提供了不同的方法使用LDAP服务器。
安全组件提供了:
- 的
ldap用户提供者,使用LdapUserProvider类。像所有其他用户提供者,它可以用于任何身份验证提供者。 - 的
form_login_ldap身份验证提供者,对LDAP服务器进行身份验证使用登录表单。像所有其他身份验证提供者,它可以用于任何用户提供者。 - 的
http_basic_ldap身份验证提供者,对LDAP服务器使用HTTP基本身份验证。像所有其他身份验证提供者,它可以用于任何用户提供者。
这意味着,下面的场景将工作:
- 检查用户的密码和获取用户信息对LDAP服务器。这可以通过使用LDAP用户提供者和LDAP登录形式或LDAP HTTP基本身份验证提供者。
- 检查用户的密码对LDAP服务器,获取用户信息从另一个来源(例如,数据库使用FOSUserBundle)。
- 从LDAP服务器加载用户信息,而使用另一个身份验证策略(例如,基于符号的pre-authentication)。
Ldap配置参考
看到安全配置引用(SecurityBundle)完整的LDAP配置引用(form_login_ldap,http_basic_ldap,ldap)。一些更有趣的选项如下所示。
配置LDAP客户端
实际上所有机制之前需要一个LDAP客户端进行配置。提供者配置为使用一个默认的服务命名ldap,但你可以覆盖该设置在安全组件的配置。
LDAP客户机可以使用内置的配置LDAP PHP扩展以下服务定义:
1 2 3 4 5 6 7 8 9 10 11 12 13 14
#配置/ services.yaml服务:ob娱乐下载Symfony \组件\ Ldap \ Ldap:参数:[' ob娱乐下载@Symfony适配器组件\ \ Ldap \ \ ExtLdap \适配器”)标签:- - - - - -ldapob娱乐下载Symfony适配器组件\ \ Ldap \ \ ExtLdap \适配器:参数:- - - - - -主持人:我的服务器端口:389年加密:tls选项:protocol_version:3推荐:假获取用户使用LDAP用户提供者
如果你想从LDAP服务器获取用户信息,您可能想要使用ldap用户提供者。
1 2 3 4 5 6 7 8 9 10 11 12 13 14
#配置/包/ security.yaml安全:#……提供者:my_ldap:ldap:服务:ob娱乐下载Symfony \组件\ Ldap \ Ldapbase_dn:dc =示例中,dc = comsearch_dn:“cn = read-only-admin, dc =示例中,dc = com”search_password:密码default_roles:ROLE_USERuid_key:uidextra_fields:['邮件']谨慎
安全组件逃当LDAP用户提供输入数据提供者使用。然而,LDAP组件本身不提供任何逃离。因此,这是你的责任,以防止LDAP注入攻击时直接使用组件。
谨慎
上面的用户配置在用户提供者仅用于检索数据。这是一个静态用户定义的用户名和密码(提高安全性,定义密码作为一个环境变量)。
如果您的LDAP服务器允许匿名的信息检索,可以设置search_dn和search_password选项零。
的ldap用户提供者支持许多不同的配置选项:
uid_key
类型:字符串默认的:零
这个条目的关键是使用UID。取决于您的LDAP服务器的实现。常用的值是:
sAMAccountName(默认)userPrincipalNameuid
如果你通过零这个选项的值,默认使用UID密钥sAMAccountName。
针对LDAP服务器进行身份验证
针对LDAP服务器进行身份验证可以通过使用表单登录或HTTP基本身份验证提供者。
他们配置完全非ldap同行,外加两个配置键和一个可选的关键:
dn_string
类型:字符串默认的:{user_identifier}
这个键定义字符串的形式用于组成用户的DN,从用户名。的{user_identifier}字符串替换为实际的用户名的人试图验证。
例如,如果您的用户DN字符串形式uid =爱因斯坦,dc =示例中,dc = com,那么dn_string将uid = {user_identifier}, dc =示例中,dc = com。
query_string
类型:字符串默认的:零
此(可选)关键用户让用户提供搜索,然后使用绑定过程发现DN。这是有用的在使用多个LDAP用户与不同的供应商base_dn。这个选项的值必须是一个有效的搜索字符串(例如uid = " {user_identifier} ")。占位符的值将被替换的实际用户标识符。
当使用该选项时,query_string将在指定的DN搜索dn_stringDN的结果query_string将用于验证用户密码。前面的示例,如果您的用户有以下两个DN:dc = companyA, dc =示例中,dc = com和dc =为companyB, dc =示例中,dc = com,然后dn_string应该是dc =示例中,dc = com。
记住用户名必须是唯一的在两个DN,作为身份验证提供者无法选择正确的用户绑定过程如果发现不止一个。
以下的例子是,对form_login_ldap和http_basic_ldap。
配置示例表单登录
1 2 3 4 5 6 7 8 9 10 11
#配置/包/ security.yaml安全:#……防火墙:主要:#……form_login_ldap:#……服务:ob娱乐下载Symfony \组件\ Ldap \ Ldapdn_string:“uid = {user_identifier}, dc =例子,dc = com”配置HTTP基本的示例
1 2 3 4 5 6 7 8 9 10
#配置/包/ security.yaml安全:#……防火墙:主要:无状态:真正的http_basic_ldap:服务:ob娱乐下载Symfony \组件\ Ldap \ Ldapdn_string:“uid = {user_identifier}, dc =例子,dc = com”配置示例登录和query_string形式
1 2 3 4 5 6 7 8 9 10 11 12 13
#配置/包/ security.yaml安全:#……防火墙:主要:#……form_login_ldap:服务:ob娱乐下载Symfony \组件\ Ldap \ Ldapdn_string:“dc =示例中,dc = com”query_string:’(& (uid = {user_identifier}) (memberOf = cn =用户,ou =服务,dc =示例中,dc = com))”search_dn:“……”search_password:“the-raw-password”
