使用 LDAP 和 PHP 获取 AD 错误数（ldap 函数返回不精确的错误）

Posted 2023-03-25

【中文标题】使用 LDAP 和 PHP 获取 AD 错误数（ldap 函数返回不精确的错误）

【英文标题】：Get number of AD errors with LDAP and PHP (ldap function return unprecise error)

【发布时间】：2015-04-30 03:58:21

【问题描述】：

我正在制作一个应用程序，使用 php 连接到 Active Directory (AD)，使用 LDAP 协议。

工作正常，我的问题是如果登录操作失败，如何捕获特定错误。今天，应用程序只显示登录是否成功，例如：假设用户名在AD中过期，系统将显示“用户名/密码无效”，因为我们不验证LDAP的具体返回。

好的，让我们来看看问题本身，下面是我希望捕获特定错误的代码。

<?php
if (! ($bind = @ldap_bind ( $connect, "DOMAIN\\" . strtoupper ( $this->user), $this->password))) 
            error_log ( "Autentication fails LDAP (user: $this->user)" );

            return ldap_errno ( $connect );
?>

那个函数，ldap_errno，根据这张表返回给我发生的事情的数量：

（还有更多，见下方链接）

48 LDAP_INAPPROPRIATE_AUTH 49 LDAP_INVALID_CREDENTIALS 49 / 52e AD_INVALID 凭据 49 / 525 用户未找到 49 / 530 NOT_PERMITTED_TO_LOGON_AT_THIS_TIME 49 / 531 RESTRICTED_TO_SPECIFIC_MACHINES 49 / 532 密码过期 49 / 533 ACCOUNT_DISABLED 49 / 568 ERROR_TOO_MANY_CONTEXT_IDS 49 / 701 ACCOUNT_EXPIRED 49 / 773 用户必须重置密码 50 LDAP_INSUFFICIENT_ACCESS

http://wiki.servicenow.com/index.php?title=LDAP_Error_Codes

好的，问题是 PHP 总是只返回 49 (LDAP_INVALID_CREDENTIALS)，与情况无关（与登录有关的情况）。例如，如果我的帐户已过期，PHP 返回我 49，我想要返回 49 / 701，我如何才能找到 701？是另一个功能吗？

如果他的密码或他的用户名无效，我如何向用户显示，而不是两者？我知道显示两者都无效是一个安全点，但我们决定最好显示什么是错误的，如果用户名或密码，是否可以通过 LDAP 知道？

PHP 版本 5.4.31

编辑

我发现了一个有用的问题：

https://bugs.php.net/bug.php?id=47222

任何人都知道如何以这种方式进行 ldap_search：

ldapsearch -x -H ldap://der-ad-server.de:389 -D accountname@der-ad-server.de -W 

我不知道如何使用 PHP ldap_search() 函数进行此搜索

【问题讨论】：

您不会向用户显示用户名或密码是否错误！如果您这样做，攻击者可以轻松地检查用户名，然后使用暴力攻击检查密码。只要你只说“用户名和密码之一是错误的”，你就不能说是哪个。因此破解系统要困难得多。

好的，我知道了。但是，有没有办法做到这一点？

我还找到了下面提到的解决方案并将其包装在一个不错的功能中。见这里：***.com/a/37188629/1059828

@abimelex 嘿，很好！如果标题与 ldap 诊断错误更相关，那就太好了:)。

【参考方案1】：

花了很多时间搜索后，我找到了解决方案！

我已在此页面创建： http://php.net/manual/en/function.ldap-get-option.php

基本上你必须定义一个名为LDAP_OPT_DIAGNOSTIC_MESSAGE的新常量变量

喜欢这个

define('LDAP_OPT_DIAGNOSTIC_MESSAGE', 0x0032);

然后

ldap_get_option($conn, LDAP_OPT_DIAGNOSTIC_MESSAGE, $extended_error);

这样，LDAP 会给您扩展错误，您将能够知道实际发生了什么，该值将放入 $extended_error。