Estoy algo familiarizado con cómo configurar la autenticación sin problemas en aplicaciones PHP / ASP.net con IIS en una red corporativa, pero tengo una pregunta a la que hasta ahora me ha costado encontrar una respuesta.

Con la autenticación anónima deshabilitada y la autenticación de Windows habilitada, es decir, se configura la autenticación sin problemas, un script PHP / ASP.net con funcionalidad para agregar / modificar usuarios en Active Directory (en el mismo "contenedor") simplemente funcionará para alguien con el privilegios de administrador correctos, es decir, en el uso de php de solo ldap_bind($conn);, ¿o debo obligar al usuario a proporcionar las credenciales de inicio de sesión para usar en la función ldap_bind()?

Por favor, comprenda que tengo conocimientos y comprensión limitados de la EA.

0
Haefyra 5 abr. 2012 a las 23:01

1 respuesta

La mejor respuesta

Generalmente, una solicitud LDAP se transmite en una conexión donde esa conexión tiene un estado de autorización particular y el cliente LDAP examina la respuesta del servidor en busca de indicios de éxito o fracaso. El estado de autorización de la conexión se cambia mediante una solicitud bind exitosa.

Por lo tanto, las solicitudes exitosas dependen del estado de autorización de la conexión. Los servidores LDAP debidamente protegidos deben requerir que las aplicaciones bind (para cambiar el estado de autorización de la conexión) para ciertas solicitudes (como add y modify, search and comparar` ) para tener éxito.

1
Terry Gardner 6 abr. 2012 a las 14:00
Claro, con PHP / ASP.net ejecutándose como una especie de módulo de IIS, y con una configuración de "autenticación perfecta de Windows", los comandos vinculados realizados en la aplicación PHP / ASP.net pasarían a IIS para pasarlos al servidor LDAP. , en cuyo caso, si se emitiera un comando de enlace simple sin credenciales, ¿IIS no negociaría automáticamente una conexión debidamente autorizada en lugar de dejarla como anónima? En otras palabras, ¿es o no posible con una autenticación sin fisuras tener una página web que permita editar los registros de usuario de Active Directory, sin que el usuario tenga que ingresar una contraseña?
 – 
Haefyra
11 abr. 2012 a las 23:04
La respuesta depende de la configuración del servidor. En términos generales, los servidores deben configurarse para rechazar solicitudes no autenticadas y para rechazar solicitudes de vinculación sin contraseña, pero ese nivel de seguridad no siempre se implementa. Consulte a sus administradores de servicios de directorio.
 – 
Terry Gardner
11 abr. 2012 a las 23:07
Estaba asumiendo un servicio debidamente asegurado, así que supongo que es un no. Perdón por la respuesta tardía, gracias por responder.
 – 
Haefyra
12 abr. 2012 a las 03:00