비밀번호 없는 LDAP 로그인 및 PHP에서 Kerberos 티켓을 사용하여 사용자 정보 가져오기
FreeIPA/Kerberos를 사용하여 우리 회사의 일부 인트라넷 사이트에 SSO를 구현하려고 합니다. 그러나 이 주제에 대한 정보는 거의 없습니다.
테스트 네트워크에는 세 대의 머신이 실행되고 있습니다.
- Centos 8 Stream의 FreeIPA v4.9.8 서버
- Debian 11의 웹 서버(Apache v2.4.53, PHP v7.4.28)
- Kinit 및 Firefox를 사용하는 Xubuntu 22.04 클라이언트
Kinit, Unix 로그인 및 Apache Kerberos 인증이 작동합니다. 클라이언트 시스템의 Firefox 브라우저는 비밀번호 없이(Kerberos 티켓 사용) FreeIPA WebConfig에 로그인할 수 있습니다. 이제 이 기능을 인트라넷 페이지로 옮기고 싶습니다. 지금까지 이러한 페이지에 대한 로그인은 기존 LDAP 로그인을 기반으로 했습니다. 로그인 스크립트를 약간 조정하면 이제 사용자는 새로운 FreeIPA 서버에 로그인할 수 있습니다. 그러나 여전히 비밀번호가 필요하지만 Kerberos 티켓 덕분에 비밀번호는 실제로 더 이상 필요하지 않습니다.
질문은 비밀번호 없는 로그인이 어떤 모습이냐는 것입니다.
로그인 스크립트의 기능 조각:
으아아아이제 내 생각에는 두 가지가 있습니다.
- ldap_bind() 대신 ldap_sasl_bind()를 사용할 수 있지만 해당 함수는 php.net(https://www.php.net/manual/en/function.ldap-sasl-bind.php)에 문서화되어 있지 않습니다. 혹시 이 기능을 사용하는 방법을 아시는 분이 계시다면 감사하겠습니다.
- 사용자 정보(이름, 이메일 등)를 얻기 위해 어떻게든 비밀번호 없이 ldap_search()를 실행할 수 있다면 기쁠 것입니다.
미리 감사드립니다.
편집자:
웹 서버 VM과 클라이언트 VM 모두 "ipa-client-install"을 통해 초기화됩니다. 또한 웹 서버에는 Apache 서비스(ipa service-add HTTP/ebook.exampletest.de)가 등록되어 있습니다.
아파치 구성에는 다음 사항도 반영됩니다.
으아아아 아까도 말씀드렸듯이 사용자 인증은 이런 식으로 되는 것 같아요(client(自己的票) > web 服务(自己的票) > ipa server). 그렇지 않으면 Apache 서버가 내 ldap/kerberos 사용자 이름을 반환하지 않습니다. 아니면 여기서 중요한 것을 놓치고 있는 걸까요? 이 인증을 시행하는 다른 방법이 있습니까?
출력: <?php print_r($_SERVER) ?>(가로채기)
<?php
$username = $_SERVER['PHP_AUTH_USER'];
$password = 'password';
$ldap_rdn = 'uid='.$username.',cn=users,cn=accounts,dc=exampletest,dc=de';
$ldap_server = ldap_connect('ldap://ipa.exampletest.de:389');
ldap_set_option($ldap_server, LDAP_OPT_PROTOCOL_VERSION, 3);
ldap_set_option($ldap_server, LDAP_OPT_REFERRALS, 0);
if ($ldap_server) {
$ldap_bind = @ldap_bind($ldap_server, $ldap_rdn, $password);
if ($ldap_bind) {
$search = array("uid","givenname","sn","mail","uidnumber","gidnumber");
$result = ldap_search($ldap_server, $ldap_rdn, "mail=$username*", $search);
$info = ldap_get_entries($ldap_server, $result);
print_r($info);
}
}
?>