аутентификации Internet Information Server (IIS) + PHP + MSSQL

[Saratov64]

Добрый день.
Задача:
аутентификации к веб сайту. Веб PHP крутиться на IIS сервере. Сервер в корпоративном домене.

отступление: Сам я пробовал один раз, простенькую авторизацию делать в связке mySQL + PHP. Веб сайт только внутри сети локальной INTRANET ЛВС. На внешку он не будет виден.
в БД MySQL была таблица, с тремя пользователями, и при авторизации делался INSERT 1 вкл, и проверка через сесси, если авторизовался, а если выходит, делет 1 из БД. Вообщем примитивно.

Прошу совет, и ссылки, как и с чего копать. Мне надо будет сделать по группа сделать доступ на web.
в зависимости от групп доступа, доступна та или иная МЕНЮШКА на просмотрт инфы.

Я так понимаю, настройка должна быть IIS сервера, по группам, а вот где саму проверку прикручитьвать. допустим делаю я файл auth.php в нем пишу, какие будут доступны меню ???
как это сделать все правильно...
заранее спасибо ....

 

[scorpion-ds]

Такое впечатление, что задание было переведено средствами гогол переводчика ...

 

[Saratov64]

Такое впечатление, что задание было переведено средствами гогол переводчика ...

не люди, а роботы, стали, до чего довел прогресс до ..............

 

[AmdY]

Из описания задачи не понятно, тебе надо написать свою систему или использовать ldap

 

[Saratov64]

Из описания задачи не понятно, тебе надо написать свою систему или использовать ldap

Никогда не делал этого, и занимаюсь вебом не давно, извиняюсь, и не могу точно сформулировать задачу.
Я сделал веб.
Теперь надо к ней доступ сделать по группам из Active Directory.
index.php крутиться на IIS сервере.

И что сделать, я пока не сформулировал. Точнее я понимаю, что человек залогинелся утром на своей машине, открывает веб страницу, а у него уже доступ есть, а если он не в группе допустим group-website то ему будет надпись, доступ запрещен ! А как это правильно реализовать.....

еще раз извиняюсь за сумбур, пока новечек

 

[AmdY]

http://php.net/manual/ru/ref.ldap.php вот готовые обёртки над этими функциями https://packagist.org/search/?q=ldap

 

[AnrDaemon]

надо к ней доступ сделать по группам из Active Directory

использовать ldap

 

[fixxxer]

Есть два варианта:
1) спрашивать самостоятельно логин-пароль пользователя, и проверять их (и получать членство в группе), используя ldap-функции
2) настроить IIS, чтобы он делал это сам (в случае использования пользователями MSIE вроде как можно избежать повторного ввода логина-пароля), и в случае успешного прохождения аутентификации передавал логин пользователя в php-шный $_SERVER. Не знаю, как (не пользуюсь IIS вообще), но думаю, что так тоже можно.

 

[Saratov64]

http://php.net/manual/ru/ref.ldap.php вот готовые обёртки над этими функциями https://packagist.org/search/?q=ldap

спасибо, начну мурыжить ....

 

[Saratov64]

Есть два варианта:
1) спрашивать самостоятельно логин-пароль пользователя, и проверять их (и получать членство в группе), используя ldap-функции
2) настроить IIS, чтобы он делал это сам (в случае использования пользователями MSIE вроде как можно избежать повторного ввода логина-пароля), и в случае успешного прохождения аутентификации передавал логин пользователя в php-шный $_SERVER. Не знаю, как (не пользуюсь IIS вообще), но думаю, что так тоже можно.

1) вы имеете ввиду, что при открытие страницы, будет форма авторизации ?
2) более подходит, хотя я не представляю пока как это будет.....
Вот я открываю страницу, инициализируется сессия от моей php страницы - запрос к IIS он автоматически должен на основе чего-то, допустим локального реестра ПК выдрать данные об учетке моей, сравнить с учетками в Ative Directory и вернуть резрешение или запрет ?

 

[AnrDaemon]

Нет. Когда ты открываешь страницу, приложению передаётся имя авторизованного сервером пользователя.
А что ты там с ним делаешь, какие сессии или что…

 

[Saratov64]

Нет. Когда ты открываешь страницу, приложению передаётся имя авторизованного сервером пользователя.
А что ты там с ним делаешь, какие сессии или что…

не понял термины ...
Что такое в данном случае приложение ?
если я открываю страницу это и есть приложение... Я открыл страницу, я инициировал запрос к ...??? к IIS серверу ... или я совсем не понял механизма ..

 

[fixxxer]

2) более подходит, хотя я не представляю пока как это будет.....

IIS и IE все сделают сами: IIS отдаст заголовок, требующий аутентификации в домене, браузер эту информацию передаст, IIS сходит в LDAP, проверит.
Как конкретно это работает и как это настроить - я без понятия, вообще не пользуюсь microsoft-овскими продуктами, только в общем себе представляю. К php это не имеет отношения никакого.

 

[AnrDaemon]

я совсем не понял механизма

Для этого вам придётся выучить, как работает протокол HTTP и какие стадии обработки проходит запрос.

 

[Saratov64]

IIS и IE все сделают сами: IIS отдаст заголовок, требующий аутентификации в домене, браузер эту информацию передаст, IIS сходит в LDAP, проверит.
Как конкретно это работает и как это настроить - я без понятия, вообще не пользуюсь microsoft-овскими продуктами, только в общем себе представляю. К php это не имеет отношения никакого.

я тоже так подозревал. Просто пока в силу не опытности, это все кажется не подъемным. Ладно, будем изучать.

 

[Saratov64]

Для этого вам придётся выучить, как работает протокол HTTP и какие стадии обработки проходит запрос.

вот это да, спасибо ... мне хотя бы понятно, что надо идти от самого начала, от HTTP , так как не понимаю самой сути, как сигнал, проходит все стадии от начала и до конца. По этому и задачу не могу сформулровать четко....

 

[WMix]

@Saratov64, тебя обманули знания HTTP это только крупинка. HTTP запрос должен содержать некий ключик, нечто что отличает его от другого пользователя. возможно и наверняка будет 2я часть, которая по ключику должна рассказать что этот ключик открывает.

 

[AmdY]

Но я бы всё же уточнил, точно ли авторизация и проверка прав должна управляться через ldap, а то проделаете лишнюю работу.

 

[AnrDaemon]

Если отдавать авторизацию в IIS, вопрос должен звучать иначе. Не "LDAP" а "AD".

 

[Saratov64]

Но я бы всё же уточнил, точно ли авторизация и проверка прав должна управляться через ldap, а то проделаете лишнюю работу.

Мне на уровне делитанта, сложно пока точно сформулировать. Но ближе к AD, наверное. Человек залогинелся в комп, и у него есть доступ к ресурсу. А если он не в группе, то запрет. Это на каком уровне ?