NTLM 身份验证 - 在 PHP 中获取 Windows 登录名、域和主机
Posted
技术标签:
【中文标题】NTLM 身份验证 - 在 PHP 中获取 Windows 登录名、域和主机【英文标题】:NTLM Authentication - Get Windows login, domain and host in PHP 【发布时间】:2015-07-16 04:41:44 【问题描述】:我正在开发单点登录 (SSO) php 应用程序。 用户登录他们的 Windows 会话,并且他们希望使用他们的 Windows 帐户(与 LDAP Active Directory 连接)自动登录应用程序。
我试过这个脚本:
<?php
$headers = apache_request_headers(); // Récupération des l'entêtes client
if (@$_SERVER['HTTP_VIA'] != NULL) // nous verifions si un proxy est utilisé : parceque l'identification par ntlm ne peut pas passer par un proxy
echo "Proxy bypass!";
elseif(!isset($headers['Authorization'])) //si l'entete autorisation est inexistante
header( "HTTP/1.0 401 Unauthorized" ); //envoi au client le mode d'identification
header( "WWW-Authenticate: NTLM" ); //dans notre cas le NTLM
exit; //on quitte
if(isset($headers['Authorization'])) //dans le cas d'une authorisation (identification)
if(substr($headers['Authorization'],0,5) == 'NTLM ') // on vérifit que le client soit en NTLM
$chaine=$headers['Authorization'];
$chaine=substr($chaine, 5); // recuperation du base64-encoded type1 message
$chained64=base64_decode($chaine); // decodage base64 dans $chained64
if(ord($chained648) == 1)
// |_ byte signifiant l'etape du processus d'identification (etape 3)
// verification du drapeau NTLM "0xb2" à l'offset 13 dans le message type-1-message (comp ie 5.5+) :
if (ord($chained64[13]) != 178)
echo "NTLM Flag error!";
exit;
$retAuth = "NTLMSSP".chr(000).chr(002).chr(000).chr(000).chr(000).chr(000).chr(000).chr(000);
$retAuth .= chr(000).chr(040).chr(000).chr(000).chr(000).chr(001).chr(130).chr(000).chr(000);
$retAuth .= chr(000).chr(002).chr(002).chr(002).chr(000).chr(000).chr(000).chr(000).chr(000);
$retAuth .= chr(000).chr(000).chr(000).chr(000).chr(000).chr(000).chr(000);
$retAuth64 =base64_encode($retAuth); // encode en base64
$retAuth64 = trim($retAuth64); // enleve les espaces de debut et de fin
header( "HTTP/1.0 401 Unauthorized" ); // envoi le nouveau header
header( "WWW-Authenticate: NTLM $retAuth64" ); // avec l'identification supplémentaire
exit;
else if(ord($chained648) == 3)
// |_ byte signifiant l'etape du processus d'identification (etape 5)
// on recupere le domaine
$lenght_domain = (ord($chained64[31])*256 + ord($chained64[30])); // longueur du domain
$offset_domain = (ord($chained64[33])*256 + ord($chained64[32])); // position du domain.
$domain = str_replace("\0","",substr($chained64, $offset_domain, $lenght_domain)); // decoupage du du domain
//le login
$lenght_login = (ord($chained64[39])*256 + ord($chained64[38])); // longueur du login.
$offset_login = (ord($chained64[41])*256 + ord($chained64[40])); // position du login.
$login = str_replace("\0","",substr($chained64, $offset_login, $lenght_login)); // decoupage du login
$lenght_host = (ord($chained64[47])*256 + ord($chained64[46]));
$offset_host = (ord($chained64[49])*256 + ord($chained64[48]));
$host = str_replace("\0","",substr($chained64, $offset_host, $lenght_host));
if ( $login != NULL)
echo $login;
else
echo "NT Login empty!";
?>
此脚本正在处理此配置:
Windows 服务器 2003 带有模块 mod_auth_sspi 的 Apache 2.2但是现在我需要在这个配置上实现它并且它不起作用:
Windows 服务器 2008 带有模块 mod_authnz_sspi 的 Apache 2.4.6由于这种情况,我不断收到“NTLM 标志错误!”:
if (ord($chained64[13]) != 178)
echo "NTLM Flag error!";
exit;
我试过了:
if (ord($chained64[13]) != 130)
因为 ord($chained64[13]) 返回 130,但我不能在这种情况下:
else if(ord($chained648) == 3)
$lenght_domain = (ord($chained64[31])*256 + ord($chained64[30])); // longueur du domain
$offset_domain = (ord($chained64[33])*256 + ord($chained64[32])); // position du domain.
$domain = str_replace("\0","",substr($chained64, $offset_domain, $lenght_domain)); // decoupage du du domain
//le login
$lenght_login = (ord($chained64[39])*256 + ord($chained64[38])); // longueur du login.
$offset_login = (ord($chained64[41])*256 + ord($chained64[40])); // position du login.
$login = str_replace("\0","",substr($chained64, $offset_login, $lenght_login)); // decoupage du login
$lenght_host = (ord($chained64[47])*256 + ord($chained64[46]));
$offset_host = (ord($chained64[49])*256 + ord($chained64[48]));
$host = str_replace("\0","",substr($chained64, $offset_host, $lenght_host));
if ( $login != NULL)
echo $login;
else
echo "NT Login empty!";
因为ord($chained648) 总是返回 1。
编辑 2015-05-11 :
我尝试在 php 中执行 'whoami' 命令,如下所示:echo exec('whoami'); -> 当我在 cmd.exe 中执行此命令时,我得到了当前登录的用户,但是当我在 PHP 中执行它时,我得到了 nt_authority/system。
我认为当 PHP 执行 'whoami' 命令时,Windows 会检查 Apache 服务的登录。我进入 Apache 属性,在“登录”选项卡中,以 Active Directory 的有效用户身份登录。但是,当 PHP 执行 echo exec('whoami'); 时,我只获得了用于 Apache 的登录名,而不是当前用户。
我正在使用 Internet Explorer 8 执行 PHP 脚本。
我的 Apache httpd.conf 中有这个(_PATH_ 是我的 php 文件的路径,也许这是错误的?):
<Directory "E:/_PATH_">
Options None
AllowOverride All
Order allow,deny
Allow from all
AuthName "SSPI Protected Place"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
SSPIOfferBasic On
SSPIOmitDomain On
Require valid-user
</Directory>
编辑 2015-05-12 :
我在机器上以域用户身份登录
当我尝试使用 Firefox 时,系统提示我输入登录名和密码。当我发布提示时,脚本会从提示中获取登录名,但这不是我想要做的:我必须让它与 IE 一起使用,我不想再次输入登录名和密码。我想登录当前的 Windows 会话。
感谢@ThaDafinser,在 Firefox 中,我进入 about:config 将 network.automatic-ntlm-auth.trusted-uris 设置为我的域。现在我在 Firefox 中不再收到提示并且一切正常,但我总是需要让它在 IE 上运行。
在 IE 中,我将本地 Intranet 安全设置为最低,但没有任何改变。
在 IE 中,为本地 Intranet 和受信任的站点检查“使用当前用户名和密码自动登录”。
当我强制 IE 在提示中询问凭据时,如果我发布提示,IE 不会返回凭据,这与 Firefox 不同。
编辑 2015-05-13 :
我在 IE 中添加了可信站点的 URL,没有任何改变。
我将受信任站点的安全性设置为低,没有任何变化。
我在 IE > Internet 选项 > 高级中取消选中“通过代理连接使用 HTTP 1.1”,即使我使用提示,我仍然无法在 Internet Explorer 上获得会话信息。
我在 Internet Explorer > Internet 选项 > 安全 > 本地 Intranet > 站点 > 高级中添加了完整 URL
在 Internet Explorer > Internet 选项 > 安全 > 本地 Intranet > 站点 > 高级中,我还添加了与在 Firefox 中添加的域 (mycompany.com) 相同的部分以使其工作,但这确实没有帮助。
编辑 2015-05-18 :
根据@timclutton 在他的回答中所说,将我的 httpd.conf 更改为与 Apache 2.4 兼容:
<Directory "E:/_PATH_">
Require all denied
AllowOverride All
Options None
AuthName "SSPI Authentication"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
SSPIOmitDomain On
Require valid-user
Require user "NT AUTHORITY\ANONYMOUS LOGON" denied
</Directory>
编辑 2015-05-19 :
我尝试设置 SSPI 的基本身份验证,但它不起作用。
AuthType 基本 AuthName“需要身份验证” AuthUserFile "E:/PATH/.htpasswd" 需要有效用户
命令允许,拒绝 允许所有人
【问题讨论】:
您是否使用浏览器访问脚本?ord($chained64[13]) 的值是 130 的原因是客户端发送到脚本的请求的标头缺少这两个标志:Negotiate Domain Supplied (0x00001000) 和 Negotiate Workstation Supplied (0x00002000)。
@blubear 是的,我正在使用 Internet Explorer 8 访问脚本。我是否缺少在请求中发送这两个标头的内容?
您是作为域用户还是机器用户登录机器?是否收到 IE 提示输入域用户名和密码的提示?
@blubear 我在机器上以域用户身份登录。但是我从来没有从 IE 中得到提示。当我尝试使用 Firefox 时,我得到一个提示,然后我得到了我在提示中写的登录名,但这不是单点登录,我必须让它工作即。
当您运行 Windows 服务器时,是否有任何理由不能使用 IIS 而不是 Apache? IIS 具有内置的 Windows 集成身份验证,启用起来非常简单。
【参考方案1】:
当我尝试使用 Firefox 时,系统会提示我输入登录名和密码。当我发布提示时,脚本会从提示中获取登录名,但这不是我想要做的:我必须让它与 IE 一起使用,我不想再次输入登录名和密码。我想登录当前的 Windows 会话。
您可以通过更改 Firefox 设置来删除提示:
在地址栏中输入“about:config” 检查 network.automatic-ntlm-auth.trusted-uris 将值设置为您的域或域的一部分,例如 mycompany.com(用逗号分隔多个值)对于 IE,您需要将页面(内联网)的安全设置设置为低于 Internet 其余部分的安全设置。 请看https://superuser.com/questions/148063/why-does-internet-explorer-keep-asking-me-for-ntlm-credentials-in-an-intranet-zo
【讨论】:
感谢您的帮助,它现在可以在没有提示的情况下使用 Firefox,我得到会话信息(登录名、主机、域)。但是我不能让它与 IE 一起工作,我将 Intranet 安全设置为最低,没有任何改变。我尝试将所有安全性设置为最低进行测试,结果是一样的...... 您需要设置“使用当前用户名和密码自动登录”。检查我帖子中的新链接 我已经在IE中设置了这个参数,但是它不起作用。 IE 从不询问凭据。我检查了您的链接并进入本地策略/安全选项将“网络安全:LAN Manager 身份验证级别”设置为“发送 LM 和 NTLM 响应”,但没有任何改变, 当我通过强制它询问凭据来使用 IE 的提示时,IE 不会返回凭据,这与 Firefox 相反。也许我省略了另一个 IE 配置? 如果无缝身份验证(无弹出窗口)在 Firefox 中有效,则您的服务器 (Apache/PHP) 配置正确。一定是IE中的设置,如果你的网站真的被检测为内网站点并且内网设置足够低,应该没有问题【参考方案2】:mod_authnz_sspi 模块透明地处理身份验证过程的所有方面,这意味着不需要您的 PHP 身份验证脚本。如果模块配置正确,您应该可以简单地在脚本中引用$_SERVER['REMOTE_USER']。任何无法通过身份验证的用户都会收到标准的 Apache 403 - Forbidden 错误。
我怀疑问题出在您的 httpd.conf 上,因为您使用的是 Apache 2.2 allow/deny 语法,而这在 Apache 2.4 中不起作用(除非您启用了 mod_access_compat 模块)。您应该阅读 Apache 文档中的 Upgrading to 2.4 from 2.2。
确保 E:/_PATH_ 是运行 PHP 脚本的确切文件夹,并且对该路径的每个请求都需要身份验证。
以下适用于 Apache 2.4:
<Directory "/path/to/webroot">
AllowOverride All
Options ExecCGI
# since I run PHP via mod_fcgi; should also work as 'Options none'.
AuthName "SSPI Authentication"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
SSPIOmitDomain On
Require valid-user
Require user "NT AUTHORITY\ANONYMOUS LOGON" denied
</Directory>
【讨论】:
我更改了配置并重新启动了 Apache,但我没有得到 REMOTE_USER。 $_SERVER 中唯一改变的是:[HTTP_CACHE_CONTROL] => no-cache 变成了 [HTTP_CACHE_CONTROL] => max-age=0 - [HTTP_PRAGMA] 消失了 - [REMOTE_PORT] 改变了。
为确保E:\_PATH_ 是准确的文件夹,我将其复制并粘贴到 Windows 资源管理器 URL 中,它显示了我的文件,因此路径正确。
我刚刚尝试了您的确切配置(文件和选项的路径除外),但我没有得到 REMOTE_USER。我想我必须使用 PHP 脚本,它可以在 Firefox 上使用,但我找不到为什么它不适用于 IE...
@MaximeMettey 检查您是否没有Require all granted 行,因为这将绕过SSPI 要求。还要确认您的 apache 服务器作为 SYSTEM 帐户下的服务运行(模块自述文件说这是必需的)。
我的 httpd.conf 中有 10 行 Require all granted,但它们设置在我的应用程序以外的其他文件夹中。我评论了他们,但没有任何改变。我的 Apache 服务以域用户身份运行,我将其更改为本地系统帐户,但没有任何改变。以上是关于NTLM 身份验证 - 在 PHP 中获取 Windows 登录名、域和主机的主要内容,如果未能解决你的问题,请参考以下文章