ActiveDirectory
[ class tree: ActiveDirectory ] [ index: ActiveDirectory ] [ all elements ]
Packages:
ActiveDirectory
EDB
eFilesystem
eSystem
HTTPRelay
IPCALC
KSC5601
MTA
myException
mysqlAES
NAVER
oGetopt
oops-KASI-Lunar
oops-Lunar
oops-OAUTH2
sThread
WebAPI
WHOIS

Source for file ActiveDirectory.php

Documentation is available at ActiveDirectory.php

  1. <?php
  2. /**
  3.  * Project: ActiveDirectory :: Control Active Directory with ldap or ldaps
  4.  * File:    ActiveDirectory.php
  5.  *
  6.  * Copyright (c) 2018, JoungKyun.Kim <http://oops.org>
  7.  *
  8.  * LICENSE: BSD
  9.  *
  10.  * ActiveDirectory pear package support to control Microsoft Active Directory
  11.  * with ldap or ldaps protocol.
  12.  *
  13.  * @category   System
  14.  * @package    ActiveDirectory
  15.  * @author     JoungKyun.Kim <http://oops.org>
  16.  * @copyright  (c) 2018 JoungKyun.Kim
  17.  * @license    BSD License
  18.  * @link       http://pear.oops.org/package/ActiveDirectory
  19.  * @filesource
  20.  */
  21.  
  22. /**
  23.  * import KSC5601 class
  24.  * http://pear.oops.org/docs/li_KSC5601.html
  25.  * http://pear.oops.org/package/KSC5601
  26.  */
  27. require_once 'KSC5601.php';
  28.  
  29. /**
  30.  * import ActiveDirectory_API class
  31.  */
  32. require_once 'ActiveDirectory/API.php';
  33.  
  34. /**
  35.  * Main Class that control Active Directory
  36.  * @package ActiveDirectory
  37.  */
  38. Class ActiveDirectory extends ActiveDirectory_API
  39. {
  40.     // {{{ properties
  41.     /**
  42.      * KSC5601 object
  43.      * @access protected
  44.      * @var    object 
  45.      */
  46.     protected $ksc = null;
  47.  
  48.     /**
  49.      * Ldap bind resource
  50.      * @access protected
  51.      * @var    resource 
  52.      */
  53.     protected $link = null;
  54.  
  55.     /**
  56.      * Set default Active Directory Domain name
  57.      * @access  public
  58.      * @var     string 
  59.      */
  60.     public $domain = null;
  61.  
  62.     /**
  63.      * Set default distinguished name
  64.      * @access  public
  65.      * @var     string 
  66.      */
  67.     public $rdn = null;
  68.  
  69.     /**
  70.      * 출력 문자열. 이 값은 iconv 변경을 위해 지정한다.
  71.      * @access  public
  72.      * @var     stinrg 
  73.      */
  74.     public $charset = null;
  75.  
  76.     /**
  77.      * ActiveDirectory의 local character set 을 지정한다.
  78.      * @access  public
  79.      * @var     string 
  80.      *
  81.      */
  82.     public $adcharset = 'cp949';
  83.  
  84.     /**
  85.      * Set Ldap error messages
  86.      * @access  public
  87.      * @var     string 
  88.      */
  89.     static public $error;
  90.     // }}}
  91.  
  92.     // {{{ (boolean) ActiveDirectory::__construct (void)
  93.     /**
  94.      * @access  public
  95.      * @return  void 
  96.      */
  97.     
  98. public
  99.     function __construct ({
  100.         putenv ('LDAPTLS_REQCERT=never');
  101.  
  102.         if php_sapi_name (== 'cli' {
  103.             $char strtolower (getenv ('LANG'));
  104.  
  105.             if preg_match ('/euc-?kr/'$char) )
  106.                 $this->charset = 'cp949'// euc-kr
  107.             else
  108.                 $this->charset = 'utf-8';
  109.         else
  110.             $this->charset = 'utf-8';
  111.  
  112.  
  113.         $this->ksc = new KSC5601;
  114.     }
  115.     // }}}
  116.  
  117.     // {{{ (object) ActiveDirectory::connect ($account, $pass, $host, $port = null, $certi = null)
  118.     /**
  119.      * Active Directory 에 접속을 하고, 접속한 계정의 정보를 반환한다.
  120.      *
  121.      * @access  public
  122.      * @return  object|false  {status, error, info}
  123.      * @param   string   Active Directory account 이름
  124.      * @param   string   Account 암호
  125.      * @param   string   접속할 호스트
  126.      * @param   integer  Ldap 포트
  127.      * @param   string   Ldaps 연결에 필요한 서버 인증서
  128.      */
  129.     
  130. public
  131.     function connect ($account$pass$host$port null$certi null{
  132.         if $certi != null && file_exists ($certi) )
  133.             $certi null;
  134.  
  135.         if is_numeric ($port) )
  136.             $port null;
  137.  
  138.         if $port === null )
  139.             $port $certi 636 389;
  140.  
  141.         $proto $certi 'ldaps' 'ldap';
  142.         $host sprintf ('%s://%s'$proto$host);
  143.  
  144.         if $certi )
  145.             putenv ('LDAPTLS_CACERT=' $certi);
  146.  
  147.         $this->link = ldap_connect ($host$port);
  148.  
  149.         ldap_set_option($this->linkLDAP_OPT_PROTOCOL_VERSION3);
  150.         ldap_set_option($this->linkLDAP_OPT_REFERRALS0);
  151.  
  152.         if $this->domain )
  153.             $dn sprintf ('%s@%s'$account$this->domain);
  154.         else
  155.             $dn sprintf ('cn=%s,%s'$account$this->rdn);
  156.  
  157.         $r = (object) array (
  158.             'status' => false,
  159.             'error'  => null,
  160.             'info'   => null
  161.         );
  162.  
  163.         if ( ($r->status $this->auth ($dn$pass$this->link)) === false {
  164.             $r->error ldap_error ($this->link);
  165.         else {
  166.             $r->info $this->user ($account$this->rdn);
  167.  
  168.             if $r->info === false {
  169.                 $r->status false;
  170.                 $r->error self::$error;
  171.                 @ldap_unbind ($this->link);
  172.             }
  173.         }
  174.  
  175.         return $r;
  176.     }
  177.     // }}}
  178.  
  179.     // {{{ (object) ActiveDirectory::user ($user, $rdn = null, $full = false)
  180.     /**
  181.      * 지정한 계정의 속성을 반환.
  182.      *
  183.      * @return object|false
  184.      * @param  string   Account 이름
  185.      * @param  string   bind DN
  186.      * @param  bool     true로 지정을 하면 전체 속성을 반환 (기본값 false)
  187.      */
  188.     
  189. public
  190.     function user ($user$rdn null$full false{
  191.         $rdn $rdn $rdn $this->rdn;
  192.  
  193.         $r->error self::$error null;
  194.         $filter sprintf ('(samaccountname=%s)'$user);
  195.  
  196.         if $full )
  197.             return $this->search ($rdn$filter);
  198.  
  199.         return $this->search_ex ($rdn$filter);
  200.     }
  201.     // }}}
  202.  
  203.     // {{{ (array) ActiveDirectory::userlist ($rdn = null)
  204.     /**
  205.      * Active Directory에 있는 전체 사용자 계정 리스트를 반환
  206.      *
  207.      * @access  public
  208.      * @return  array|false
  209.      * @param   string   Bind dn
  210.      */
  211.     
  212. public
  213.     function userlist ($rdn null{
  214.         $rdn $rdn $rdn $this->rdn;
  215.  
  216.         $filter '(&(objectCategory=person)(objectClass=user))';
  217.         $entries $this->search ($rdn$filter);
  218.  
  219.         if $entries === false )
  220.             return false;
  221.  
  222.         $i 0;
  223.         foreach $entries as $v )
  224.             $r[$i++$v->cn;
  225.  
  226.         sort ($r);
  227.  
  228.         return $r;
  229.     }
  230.     // }}}
  231.  
  232.     // {{{ (array) ActiveDirectory::grouplist ($rdn = null)
  233.     /**
  234.      * Active Directory에 있는 전체 그룹 리스트를 반환
  235.      *
  236.      * @access  public
  237.      * @return  array|false
  238.      * @param   string   Bind DN
  239.      */
  240.     
  241. public
  242.     function grouplist ($rdn null{
  243.         $rdn $rdn $rdn $this->rdn;
  244.  
  245.         #$filter = '(grouptype=*)';
  246.         $filter '(objectCategory=group)';
  247.         $entries $this->search ($rdn$filter);
  248.  
  249.         if $entries === false )
  250.             return false;
  251.  
  252.         $i 0;
  253.         foreach $entries as $v )
  254.             $r[$i++$v->cn;
  255.  
  256.         sort ($r);
  257.  
  258.         return $r;
  259.     }
  260.     // }}}
  261.  
  262.     // {{{ (boolean) ActiveDirectory::is_account_lock ($obj)
  263.     /**
  264.      * 주어진 계정이 lock이 걸려있는지 여부를 확인
  265.      *
  266.      * lockout account (lockouttime>=1)
  267.      * disabled account (userAccountControl:1.2.840.113556.1.4.803:=2)
  268.      *   -> userAccountControl value is 512 or 66048 enabled account
  269.      *   -> userAccountControl value is 514 or 66050 disabled account
  270.      *
  271.      * @access  public
  272.      * @return  boolean 
  273.      * @param   object   ActiveDirectory::user mehtod의 결과값
  274.      */
  275.     function is_account_locked ($obj{
  276.         if is_object ($obj) )
  277.             return false;
  278.  
  279.         if $obj->lockouttime && $obj->lockouttime != )
  280.             return true;
  281.  
  282.         if $obj->useraccountcontrol == 514 || $obj->useraccountcontrol == 66050 )
  283.             return true;
  284.  
  285.         return false;
  286.     }
  287.     // }}}
  288.  
  289.     // {{{ (object) ActiveDirectory::maxid ($rdn = null)
  290.     /**
  291.      * 현재 Active Directory의 UID/GID 최대값을 가져온다.
  292.      *
  293.      * Unix Attribute가 활성화 되어 있지 않으면 0을 반환한다.
  294.      *
  295.      * @access public
  296.      * @return object 
  297.      * @param  string   bind DN
  298.      */
  299.     
  300. public
  301.     function maxid ($rdn null{
  302.         $rdn $rdn $rdn $this->rdn;
  303.         $ret new StdClass;
  304.  
  305.         $ret->uid 0;
  306.         $ret->gid 0;
  307.  
  308.         $r $this->search_api ($rdnnullarray ('uid''uidnumber''gidnumber'));
  309.  
  310.         foreach $r as $v {
  311.             $ret->uid isset ($v->uidnumber&& $v->uidnumber $ret->uid $v->uidnumber $ret->uid;
  312.             $ret->gid isset ($v->gidnumber&& $v->gidnumber $ret->gid $v->gidnumber $ret->gid;
  313.         }
  314.  
  315.         return $ret;
  316.     }
  317.     // }}}
  318.  
  319.     // {{{ (object) ActiveDirectory::search ($rdn, $filter = null)
  320.     /**
  321.      * Entry를 검색
  322.      *
  323.      * 결과 값이 1 entry일 경우에는 object로 반환을 하며, 1개 이상일 경우에는
  324.      * 모든 entry를 배열로 반환한다.
  325.      *
  326.      * @access  public
  327.      * @return  object|array|false
  328.      * @param   string   bind DN
  329.      * @param   filter   ldap 필터
  330.      */
  331.     
  332. public
  333.     function search ($rdn null$filter null{
  334.         $rdn $rdn $rdn $this->rdn;
  335.         return $this->search_api ($rdn$filter);
  336.     }
  337.     // }}}
  338.  
  339.     // {{{ (object) ActiveDirectory::search_ex ($rdn, $filter = null, $attr = null)
  340.     /**
  341.      * Entry를 검색
  342.      *
  343.      * ActiveDirectory::search 와의 차이점은 4번째 인자로 반환할 속성을
  344.      * 지정할 수 있다. 지정하지 않을 경우 다음의 속성을 반환한다.
  345.      *
  346.      * 'cn', 'sn', 'givenname', 'displayname', 'distinguishedname',
  347.      * 'department', 'title', 'description', 'company',
  348.      * 'mail', 'ipphone', 'mobile', 'memberof', 'member',
  349.      * 'mssfu30name', 'uidnumber', 'gidnumber', 'unixhomedirectory', 'loginshell',
  350.      * 'whencreated', 'whenchanged', 'lastlogontimestamp', 'lastlogon',
  351.      * 'pwdlastset', 'badpasswordtime', 'accountexpires', 'lockouttime',
  352.      * 'useraccountcontrol', 'samaccountname'
  353.      *
  354.      * @access  public
  355.      * @return  object|array|false
  356.      * @param   string   bind Dn
  357.      * @param   string   ldap 필터
  358.      * @param   array    반환할 속성
  359.      */
  360.     
  361. public
  362.     function search_ex ($rdn null$filter null$attr null{
  363.         $rdn   $rdn $rdn $this->rdn;
  364.         if $attr {
  365.             $attr array (
  366.                 'cn''sn''givenname''displayname''distinguishedname',
  367.                 'department''title''description''company',
  368.                 'mail''ipphone''mobile''memberof''member',
  369.                 'mssfu30name''uidnumber''gidnumber''unixhomedirectory''loginshell',
  370.                 'whencreated''whenchanged''lastlogontimestamp''lastlogon',
  371.                 'pwdlastset''badpasswordtime''accountexpires''lockouttime',
  372.                 'useraccountcontrol''samaccountname'
  373.             );
  374.         }
  375.  
  376.         return $this->search_api ($rdn$filter$attr);
  377.     }
  378.     // }}}
  379.  
  380.     // {{{ (boolean) ActiveDirectory::change_password ($account, $new_pass)
  381.     /**
  382.      * Active Directory 계정의 암호를 변경한다. 이 method는 ldaps 프로토콜로
  383.      * 연결해야 동작한다.
  384.      *
  385.      * @access  public
  386.      * @return  boolean 
  387.      * @param   string|object 계정  이름 또는 ActiveDirectory::user method의 결과
  388.      * @param   new_pass     변경할 암호
  389.      */
  390.     
  391. public
  392.     function change_password ($entry$new_pass{
  393.         if trim ($new_pass) ) {
  394.             self::$error sprintf (
  395.                 "The given password is '%s'. " .
  396.                 "The password is only ascii character.",
  397.                 $new_pass
  398.             );
  399.             return false;
  400.         }
  401.  
  402.         if is_array ($entry) ) {
  403.             if trim ($entry) ) {
  404.                 self::$error sprintf (
  405.                     "The given account name is '%s'. " .
  406.                     "The account name is only ascii character without white space.",
  407.                     $entry
  408.                 );
  409.                 return false;
  410.             }
  411.             $account $entry;
  412.  
  413.             $entry $this->user ($entry);
  414.             #$entry = $this->search_ex ($this->rdn, "samaccountname={$account}");
  415.             if $entry === false )
  416.                 return false;
  417.         }
  418.  
  419.         $data['unicodePwd'$this->make_nt_passwd ($new_pass);
  420.  
  421.         /*
  422.          * 패스워드 변경은.. UTF8 로 보내면.. 또 안된다..
  423.          * MS 왜이러는 거야..
  424.          * 2012 에서도 그런지는 확인 필요! (2008 R2 까지는 확인)
  425.          *
  426.          * LDAP protocol 3 에서는 어떤지 확인 안됨. protocol3은 무조건
  427.          * UTF-8을 사용하는 것이 표준인데..
  428.         if ( $this->ksc->is_utf8 ($entry->distinguishedname, true) )
  429.             $entry->distinguishedname = $this->ksc->utf8 ($entry->distinguishednamem, UHC);
  430.          */
  431.  
  432.         $r $this->exec ($entry->distinguishedname$data'replace');
  433.         #if ( ($r = @ldap_mod_replace ($this->link, $entry->distinguishedname, $data)) === false )
  434.         #    self::$error = ldap_error ($this->link);
  435.  
  436.         if $r === true {
  437.             if $this->is_unix_attribute )
  438.                 $this->change_unix_password ($entry$new_pass);
  439.         }
  440.  
  441.         return $r;
  442.     }
  443.     // }}}
  444.  
  445.     /*
  446.      * UNIX Attribute method
  447.      */
  448.  
  449.     // {{{ (boolean) ActiveDirectory::is_unix_attribute (&$r)
  450.     /**
  451.      * 해당 유저의 UNIX attribute가 활성화 되어 있는지 여부를 확인
  452.      *
  453.      * @access public
  454.      * @return bool 
  455.      * @param  string|object 계정  또는 계정 속성
  456.      */
  457.     
  458. public
  459.     function is_unix_attribute (&$r{
  460.         if is_object ($r) ) {
  461.             if is_string ($r) )
  462.                 return false;
  463.  
  464.             if ( ($res $this->user ($r$this->rdn)) === false )
  465.                 return false;
  466.  
  467.             if is_object ($res|| isset ($res->samaccountname) )
  468.                 return false;
  469.  
  470.             $r $res;
  471.             unset ($res);
  472.         }
  473.  
  474.         if $r->uid && $r->mssfu30name && $r->loginshell )
  475.             return true;
  476.  
  477.         return false;
  478.     }
  479.     // }}}
  480.  
  481.     // {{{ (boolean) ActiveDirectory::enable_unix_attribute ($account, $attr)
  482.     /**
  483.      * 계정의 unix attribyte를 활성화 한다.
  484.      *
  485.      * ActiveDirectory::user method의 결과값을 파라미터로 넘긴다.
  486.      *
  487.      * @access public
  488.      * @return boolean 
  489.      * @param  object  계정 속성
  490.      * @param  array   unix attribute 값<br>
  491.      *     설정 가능한 배열 멤버는 다음과 같다. (괄호안은 지정하지 않았을 경우의
  492.      *     기본값이다.)
  493.      *     <p>
  494.      *     <ul>
  495.      *         <li>mssfu30name (CN attribute)</li>
  496.      *         <li>mssfu30nisdomain (ActiveDirectory::$domain)</li>
  497.      *         <li>loginshell (/bin/bash)</li>
  498.      *         <li>unixhomedirectory (/home/AD/USERNAME)</li>
  499.      *         <li>unixuserpassword (Gabage data)</li>
  500.      *     </ul>
  501.      */
  502.     
  503. public
  504.     function enable_unix_attribute ($account$attr null{
  505.         return $this->set_unix_attribute ($account$attr'add');
  506.     }
  507.     // }}}
  508.  
  509.     // {{{ (boolean) ActiveDirectory::disable_unix_attribute ($account)
  510.     /**
  511.      * 계정의 unix attribyte를 비활성화 한다.
  512.      *
  513.      * @access public
  514.      * @return boolean 
  515.      * @param  object  계정 속성 또는 계정 이름
  516.      */
  517.     
  518. public
  519.     function disable_unix_attribute ($account{
  520.         return $this->set_unix_attribute ($accountnull'remove');
  521.     }
  522.     // }}}
  523.  
  524.     // {{{ (boolean) ActiveDirectory::change_unix_password ($account, $pass = null)
  525.     /**
  526.      * Unix Attribute 속성의 암호를 변경한다.
  527.      *
  528.      * @access public
  529.      * @return bool 
  530.      * @param  string 계정 이름
  531.      * @param  string 변경할 암호
  532.      */
  533.     
  534. public
  535.     function change_unix_password ($account$pass null{
  536.         if $pass )
  537.             return false;
  538.  
  539.         $attr['unixuserpassword'$pass;
  540.         return $this->set_unix_attribute ($account$attr'replace');
  541.     }
  542.     // }}}
  543.  
  544.     // {{{ (void) ActiveDirectory::close ($link = null) 
  545.     /**
  546.      * Disconnect Active Directory
  547.      * @access  public
  548.      * @return  void 
  549.      * @param   resource  (optional) ldap link
  550.      */
  551.     
  552. public
  553.     function close (&$r{
  554.         if is_resource ($r) )
  555.             ldap_unbind ($r);
  556.         else if is_object ($r) ) {
  557.             if is_resource ($r->link) )
  558.                 ldap_unbind ($r->link);
  559.  
  560.             $r->status false;
  561.             $r->link   false;
  562.             $r->error  null;
  563.             $r->info   null;
  564.         else {
  565.             if is_resource ($r) )
  566.                 ldap_unbind ($r);
  567.         }
  568.     }
  569.     // }}}
  570.  
  571.     /*
  572.      * Ldap Execute
  573.      */
  574.  
  575.     // {{{ (boolean) ActiveDirectory::exec ($link, $dn, $attrs, $mode='add')
  576.     /**
  577.      * LDAP 추가/수정/삭제 실행을 한다.
  578.      *
  579.      * @access public
  580.      * @return boolean 
  581.      * @param  resrouce 
  582.      * @param  string   Bind DN
  583.      * @param  array    실행할 키/값
  584.      */
  585.     
  586. public
  587.     function exec ($dn$attrs$mode 'add'$link null{
  588.         $link $link $link $this->link;
  589.  
  590.         if is_array ($attrs) ) {
  591.             ActiveDirectory::$error 'Entry is must set with Array';
  592.             return false;
  593.         }
  594.  
  595.         if count ($attrs) ) {
  596.             ActiveDirectory::$error 'Entry is empty';
  597.             return false;
  598.         }
  599.  
  600.         $mode strtolower ($mode);
  601.         if preg_match ('/^(add|del|replace)$/'$mode) ) {
  602.             ActiveDirectory::$error 'Invalid mode';
  603.             return false;
  604.         }
  605.  
  606.         $funcname 'ldap_mod_' $mode;
  607.  
  608.         if ( ($r @$funcname ($link$dn$attrs)) === false )
  609.             ActiveDirectory::$error ldap_error ($link);
  610.  
  611.         return $r;
  612.     }
  613.     // }}}
  614.  
  615.  
  616.     // {{{ (boolean) ActiveDirectory::__construct (void)
  617.     /**
  618.      * @access  public
  619.      * @return  void 
  620.      */
  621.     public function __destruct ({
  622.         if is_resource ($this->link) )
  623.             ldap_unbind ($this->link);
  624.     }
  625.     // }}}
  626. }
  627.  
  628. /*
  629.  * Local variables:
  630.  * tab-width: 4
  631.  * c-basic-offset: 4
  632.  * End:
  633.  * vim: set filetype=php noet sw=4 ts=4 fdm=marker:
  634.  * vim600: noet sw=4 ts=4 fdm=marker
  635.  * vim<600: noet sw=4 ts=4
  636.  */
  637. ?>
Documentation generated on Fri, 30 Aug 2024 06:10:02 +0900 by phpDocumentor 1.4.4