[Erledigt] Benutzer-Authentifizierung über LDAP

bueth · 30.07.2008, 15:13

Hallo Zusammen

Ich hoffe, ich bin hier an der richtigen Stelle. Ich habe folgendes Problem:

Ich habe ein Auth-Script, der die Benutzer über's Firmen ActiveDirectory authentifiziert. Dies funktioniert Problemlos. Nun habe ich aber feststellen müssen, dass wenn ich das Passwort meines Benutzers im AD ändere, mein altes Passwort immer noch gültig ist! Ich kann mein Passwort mehrmals ändern, das letzte und das aktuelle Passwort funktionieren immer.

Ich habe mittlerweile einige Tests gemacht (verschiedene Webserver, Anbindung ans AD via adlap (sf.net), manuell über ldap_connect, etc). Hat jemand eine Ahnung wo das Problem liegen könnte?

Hier mal mein Script:

PHP-Code:

  header ('Content-Type: text/html; charset=utf-8', true);

 
checkAuth('myUsername', 'Aa123456@');  // Vorheriges PW

checkAuthNew('myUsername', 'Aa123456@');  // Vorheriges PW

checkAuth('myUsername', 'xy&abc12B');

checkAuthNew('myUsername', 'xy&abc12B');

checkAuth('myUsername', 'xy&abc12A');  // Aktuelles PW

checkAuthNew('myUsername', 'xy&abc12A'); // Aktuelles PW

 
function checkAuth($usr, $pw) {

    if ($conn = ldap_connect('myServer')) {

        ldap_set_option($conn, LDAP_OPT_PROTOCOL_VERSION, 3);

        ldap_set_option($conn, LDAP_OPT_REFERRALS, 0);

        if(@ldap_bind($conn,$usr.'@mySuffix.com',$pw) !== false) echo 'it worked: '.$pw.'<br>';

        else echo 'not working: '.$pw.'<br>';

        ldap_close($conn);

        unset($conn);

    } else echo 'no connection possible!';

}

 
function checkAuthNew($usr,$pw) {

    $ldaphost = "myServer";

    $ldapport = 389;

    $ds = ldap_connect($ldaphost, $ldapport) or die("Could not connect to $ldaphost");

    if ($ds) {

        $binddn = $usr."@mySuffix.com";

 
        $ldapbind = @ldap_bind($ds, $binddn, $pw);

        if ($ldapbind) echo 'it workedN: '.$pw.'<br>';

        else echo 'not workingN: '.$pw.'<br>';

        ldap_close($ds);

    }

}

Ausgabe:
it worked: Aa123456@
it workedN: Aa123456@
not working: xy&abc12B
not workingN: xy&abc12B
it worked: xy&abc12A
it workedN: xy&abc12A

Was noch zu erwähnen ist: Ich kann mich mit dem alten Passwort nicht an einem Computer anmelden. Nur "ldap_bind" sagt, dass das Passwort noch gültig ist.

Langsam aber sicher bin ich mit meinem Latein am Ende. Was mache ich falsch?

Grüsse aus der Schweiz

cycap · 30.07.2008, 15:17

error_reporting(E_ALL) hast du als fortgeschrittener Benutzer natürlich an und das sagt nix?

bueth · 30.07.2008, 16:09

Zitat:

Zitat von cycap

error_reporting(E_ALL) hast du als fortgeschrittener Benutzer natürlich an und das sagt nix?

Aber natürlich, für etwas gibt es ja Testsysteme mit den entsprechenden Einstellungen. Entschuldige, dass ich das nicht explizit erwähnt habe...

Ich habe jetzt zusammen mit einem unserer Systemlern die Windows Logs angeschaut. Scheinbar lässt das AD die Anforderung als gültig durch. Was wiederum darauf hindeutet, dass der Fehler vom AD her stammt. Bevor ich das allerdings mit einem Netzwerksniffer überprüft habe (ob PHP auch wirklich die verschiedenen Passwörter schickt), kann ich das nicht mit Sicherheit sagen.

Mögliche Ursache: Eine Art Caching (Stichwort StoredCredentials) greift ein. Logt man sich an einem PC an, verlangt Windows, dass dieser Cache gelöscht bzw ignoriert wird. Bei ldap_bind scheinbar nicht.

Hat noch niemand von dieser Problematik gehört? Kann/will es niemand reproduzieren.

Gruss

cycap · 30.07.2008, 16:12

sehr fortgeschritten sowas in mehreren Foren zu fragen

bueth · 30.07.2008, 17:26

Zitat:

Zitat von cycap

sehr fortgeschritten sowas in mehreren Foren zu fragen

Naja, Ansichtssache. Warum soll es nicht erlaubt sein, dies in mehreren Foren zu Fragen? Wer sagt mir, dass "die Experten" bzw. die Leute die das Problem überhaupt verstehen/reproduzieren könnten, alle Foren besuchen?

Ausserdem, hatte ich die Impression, dass mir da nicht geholfen werden kann. Ich habe erhofft, hier auf professionelle Hilfe zu treffen, insbesondere, da hier eine "Fortgeschrittene"-Sektion existiert. Ich werde aber sicher den anderen Eintrag auch noch aktualisieren, in der Hoffnung, dass da jemand das Interesse hat das ganze mal etwas genauer unter die Lupe zu nehmen, anstatt mich nur anzuschwärzen...

Es haben ja schliesslich nicht alle Leute soviel Zeit, um den ganzen Tag in verschiedensten Foren herum zu stöbern (keine persönliche Anspielung!).

cycap · 30.07.2008, 19:58

Zitat:

Es haben ja schliesslich nicht alle Leute soviel Zeit, um den ganzen Tag in verschiedensten Foren herum zu stöbern (keine persönliche Anspielung!).

Nun, ganz ehrlich, das ist pech, dann muss man auf die Hilfe halt verzichten.

Ich werd jetzt hier nicht zu tausendsten mal erläutern was gegen Crossposting spricht, ich glaub ich mach mir mal ne Universalantwort dafür fertig.

Manko10 · 30.07.2008, 20:14

Crossposting

nikosch · 30.07.2008, 20:53

Zitat:

ich mach mir mal ne Universalantwort dafür fertig

Neue (alte) Forenregeln + Special Crossposting sind meinerseits bereits in der Mache. Können dann auch verlinkt werden.

bueth · 30.07.2008, 20:56

Zitat:

Zitat von cycap

Nun, ganz ehrlich, das ist pech, dann muss man auf die Hilfe halt verzichten.

Hab das nicht so gemeint. Dachte aus der Sicht des Experten der per Zufall auf die Frage stösst und Interesse an der Problematik hat. Ich hab weiss Gott wie lange gesucht, bevor ich die Frage überhaupt ins Netz gestellt habe. Normalerweise wird einem ja auch praktisch alles beantwortet, wenn man nur richtig sucht, was leider auch nicht immer so einfach ist.

Ich dachte, dass sich dadurch die Chancen erhöhen, dass dies überhaupt jemand sieht/beachtet. Sehe mittlerweile ein was dagegen spricht, obwohl ich zu der Gruppe gehöre, die die Lösung wenigstens nachtragen würde, was ich auch mache wenn ich die Lösung auf einem anderen Weg/selbst herausfinde.

Ich werde es in Zukunft sicher unterlassen, so kurz nacheinander in mehreren Foren die selbe Frage zu stellen und mich in Geduld üben.

30.07.2008, 21:55

Hier wird immer seitenweise diskutiert ob das Posting im richtigen Thread ist ..

Zum Thema:
Ich habe noch nie damit gearbeitet, aber kannst du irgendwie den Cache leeren? Wechselst du das Passwort im selben Skript, das gleichzeitig die neue Anmeldung ausführt? Ist das alte Passwort ewig gütig?

Vielleicht macht es Sinn sich in die LDAP-Spezifikationen einzulesen. Oder steht etwas dazu bereits in den User-Notes im PHP-Handbuch?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

LinkBacks (?) LinkBack to this Thread: http://www.php.de/php-fortgeschrittene/46408-erledigt-benutzer-authentifizierung-ueber-ldap.html
Erstellt von	For	Type	Datum
Benutzer-Authentifizierung über LDAP - Forum: phpforum.de	This thread	Refback	30.07.2008 21:18

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Anmeldemaske mit Weiterleitung	groovemachine	Datenbanken	70	04.07.2008 10:48
Neue Datenbank und Benutzer anlegen	Quereinsteiger	Datenbanken	6	02.04.2008 08:30
phpMyAdmin Laufzeitinformationen für einzelne Benutzer?	nicobischof	Datenbanken	1	20.04.2006 09:25
Authentifizierung im Hintergrund ohne Abfragefenster	dadonline	PHP Tipps 2006	4	29.03.2006 11:54
[Erledigt] Benutzer in phpbb löschen - per sql-Befehl		Datenbanken	2	23.12.2005 09:52
PHP zur authentifizierung einer VPN Verbindung	mAy^daY	PHP Tipps 2005-2	0	18.08.2005 14:21
Novell eDirectory, LDAP und das ganze mit PHP		PHP-Fortgeschrittene	4	28.07.2005 13:59
Windows Authentifizierung und Passwort auslesen		PHP-Fortgeschrittene	3	15.03.2005 16:42
[Erledigt] LDAP Bind - unknown error		PHP-Fortgeschrittene	0	27.01.2005 17:11
[Erledigt] PHP Authentifizierung		PHP-Fortgeschrittene	11	20.01.2005 00:17
mehrere Benutzer arbeiten an einem Datensatz	ajo_silent	Datenbanken	6	20.11.2004 13:52
Ldap :-(		PHP-Fortgeschrittene	1	14.10.2004 15:36
[Erledigt] LDAP Gruppe überprüfen		PHP-Fortgeschrittene	4	29.09.2004 17:31
Gibt es &quot;htacces&quot; ohne Abfrage von Benutzer und Ke		Server, Hosting und Workstations	2	19.06.2004 18:17
[Erledigt] LDAP		PHP-Fortgeschrittene	7	16.06.2004 07:49

30.07.2008, 15:13
bueth Neuer Benutzer Registriert seit: 30.07.2008 Beiträge: 7	[Erledigt] Benutzer-Authentifizierung über LDAP Hallo Zusammen Ich hoffe, ich bin hier an der richtigen Stelle. Ich habe folgendes Problem: Ich habe ein Auth-Script, der die Benutzer über's Firmen ActiveDirectory authentifiziert. Dies funktioniert Problemlos. Nun habe ich aber feststellen müssen, dass wenn ich das Passwort meines Benutzers im AD ändere, mein altes Passwort immer noch gültig ist! Ich kann mein Passwort mehrmals ändern, das letzte und das aktuelle Passwort funktionieren immer. Ich habe mittlerweile einige Tests gemacht (verschiedene Webserver, Anbindung ans AD via adlap (sf.net), manuell über ldap_connect, etc). Hat jemand eine Ahnung wo das Problem liegen könnte? Hier mal mein Script: PHP-Code: header ('Content-Type: text/html; charset=utf-8', true); checkAuth('myUsername', 'Aa123456@'); // Vorheriges PW checkAuthNew('myUsername', 'Aa123456@'); // Vorheriges PW checkAuth('myUsername', 'xy&abc12B'); checkAuthNew('myUsername', 'xy&abc12B'); checkAuth('myUsername', 'xy&abc12A'); // Aktuelles PW checkAuthNew('myUsername', 'xy&abc12A'); // Aktuelles PW function checkAuth($usr, $pw) { if ($conn = ldap_connect('myServer')) { ldap_set_option($conn, LDAP_OPT_PROTOCOL_VERSION, 3); ldap_set_option($conn, LDAP_OPT_REFERRALS, 0); if(@ldap_bind($conn,$usr.'@mySuffix.com',$pw) !== false) echo 'it worked: '.$pw.'<br>'; else echo 'not working: '.$pw.'<br>'; ldap_close($conn); unset($conn); } else echo 'no connection possible!'; } function checkAuthNew($usr,$pw) { $ldaphost = "myServer"; $ldapport = 389; $ds = ldap_connect($ldaphost, $ldapport) or die("Could not connect to $ldaphost"); if ($ds) { $binddn = $usr."@mySuffix.com"; $ldapbind = @ldap_bind($ds, $binddn, $pw); if ($ldapbind) echo 'it workedN: '.$pw.'<br>'; else echo 'not workingN: '.$pw.'<br>'; ldap_close($ds); } } Ausgabe: it worked: Aa123456@ it workedN: Aa123456@ not working: xy&abc12B not workingN: xy&abc12B it worked: xy&abc12A it workedN: xy&abc12A Was noch zu erwähnen ist: Ich kann mich mit dem alten Passwort nicht an einem Computer anmelden. Nur "ldap_bind" sagt, dass das Passwort noch gültig ist. Langsam aber sicher bin ich mit meinem Latein am Ende. Was mache ich falsch? Grüsse aus der Schweiz


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

30.07.2008, 15:17
cycap Moderator Registriert seit: 13.02.2008 Beiträge: 6.816 PHP-Kenntnisse: Fortgeschritten	error_reporting(E_ALL) hast du als fortgeschrittener Benutzer natürlich an und das sagt nix?

30.07.2008, 16:12
cycap Moderator Registriert seit: 13.02.2008 Beiträge: 6.816 PHP-Kenntnisse: Fortgeschritten	sehr fortgeschritten sowas in mehreren Foren zu fragen

30.07.2008, 20:14
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.706 PHP-Kenntnisse: Fortgeschritten	Crossposting

30.07.2008, 21:55
ElPresidente Gast Beiträge: n/a	Hier wird immer seitenweise diskutiert ob das Posting im richtigen Thread ist .. Zum Thema: Ich habe noch nie damit gearbeitet, aber kannst du irgendwie den Cache leeren? Wechselst du das Passwort im selben Skript, das gleichzeitig die neue Anmeldung ausführt? Ist das alte Passwort ewig gütig? Vielleicht macht es Sinn sich in die LDAP-Spezifikationen einzulesen. Oder steht etwas dazu bereits in den User-Notes im PHP-Handbuch?