Bagaimana cara menggunakan direktori aktif untuk memberikan izin ke aplikasi web?

Saya memiliki beberapa aplikasi web yang dikembangkan menggunakan PHP dan ingin mengaturnya untuk memungkinkan otentikasi pengguna melalui direktori aktif (khususnya sehingga pengguna dapat mengautentikasi menggunakan kredensial domain mereka).

Saya dapat menggunakan LDAP untuk mengautentikasi pengguna ke grup yang saya buat, tetapi saya tidak yakin bagaimana saya dapat menetapkan izin pengguna untuk aplikasi tersebut. Dalam atribut untuk grup saya, saya melihat sebuah bidang bernama "controlAccessRights" yang sepertinya menggunakan izin ini - apakah saya hanya perlu menetapkan salah satu nilai ini ke grup?

Adakah yang bisa memberi saya informasi tentang cara terbaik untuk memberikan izin?

Terima kasih.


authentication php active-directory ldap
person Matt    schedule 06.05.2010    source sumber

Jawaban (1)


arrow_upward
2
arrow_downward

Cara yang saya lakukan di masa lalu adalah menggunakan keanggotaan grup untuk menentukan izin. Anda dapat melakukan pencarian untuk atribut MemberOf setiap pengguna:

(&(objectClass=user)(memberOf=CN=example_group*))

Kemudian dalam kode Anda, Anda akan memiliki pernyataan if untuk menentukan hak akses apa yang diperlukan berdasarkan grup mana mereka menjadi anggotanya.

Ini mungkin sedikit lebih mudah dibaca dibandingkan menggunakan atribut controlAccessRights. Anda dapat memiliki grup "Web_Admin" dll...

Tentu saja ada cara lain, saya merasa mudah menggunakan grup untuk izin situs web karena lebih terlihat.

person Cetra    schedule 10.05.2010
comment
Terima kasih. Ini yang selama ini saya lakukan, saya berharap bisa memberikan izin di dalam grup, tapi sepertinya ini masih solusi terbaik. Sekali lagi terima kasih atas balasan Anda. - person Matt; 11.05.2010