Comment puis-je utiliser le répertoire actif pour attribuer des autorisations à une application Web?

Question

J'ai plusieurs applications Web développées en utilisant PHP et je voudrais les configurer pour permettre l'authentification de l'utilisateur à travers le répertoire actif (spécifiquement pour que les utilisateurs puissent s'authentifier en utilisant leurs identifiants de domaine).

Je suis capable d'utiliser LDAP pour authentifier l'utilisateur auprès d'un groupe que j'ai créé, mais je ne sais pas comment attribuer des autorisations utilisateur à l'application. Dans les attributs de mon groupe, j'ai remarqué un champ appelé "controlAccessRights" qui ressemble à these permissions - dois-je juste assigner une de ces valeurs au groupe?

Quelqu'un peut-il me fournir des informations sur la meilleure façon d'attribuer des autorisations?

Merci.

Answer 1

La façon dont je l'ai fait dans le passé est d'utiliser l'appartenance à un groupe pour dicter des permissions. Vous pouvez faire une recherche pour l'attribut MemberOf de chaque utilisateur:

(&(objectClass=user)(memberOf=CN=example_group*)) 

Puis dans votre code, vous auriez une instruction if pour déterminer les droits d'accès sont nécessaires en fonction de ce groupe, ils sont un membre.

Cela peut être un peu plus lisible que d'utiliser l'attribut controlAccessRights. Vous pourriez avoir un groupe "Web_Admin" etc ...

Bien sûr, il y a d'autres façons, je viens de trouver qu'il est facile d'utiliser les groupes pour les permissions de sites Web, car ils sont plus visibles.