[php] beveiliging met windows login

Als jij alle leerling nummers in een database zet, vervolgens elke leerling laat registreren. Doordat je een controle uitvoert dat een leerling nummer maar 1x geregistreerd mag worden, heb je ook een aardige controle. Daarnaast kan je een leerling nummer ook nog combineren met een klas en/of mentor, waardoor je de controle uit meerdere variabelen maakt. Hierdoor wordt het lastiger om te registreren voor mensen die je enquete om zeep willen helpen.

Dat lijkt mij een makkelijkere manier, ik zelf weet niet hoe je in php een gebruikersnaam uit leest. Weet alleen dat Windows de gebruikersnaam uit leest met %username% (Win 2000 / XP), maar dat werkt alleen in windows.

Even zoeken...

Ik weet dat je in ASP de ingelogde user kunt opvragen met
Request.ServerVariables("REMOTE_USER")

Wellicht kun je hiermee het php-alternatief vinden?

(In ASP is het dus mogelijk, dus ik kan me niet voorstellen dat het in PHP niet mogelijk is )

Flard schreef op zondag 06 februari 2005 @ 13:08:
Ik weet dat je in ASP de ingelogde user kunt opvragen met
Request.ServerVariables("REMOTE_USER")

Wellicht kun je hiermee het php-alternatief vinden?

(In ASP is het dus mogelijk, dus ik kan me niet voorstellen dat het in PHP niet mogelijk is )

Dat lijkt me een server variabele, het lijkt me moeilijk om te weten welke user je pagina connect als je browser dat niet meegeeft. Misschien kun je dat met een JS eruit halen, maar dat lijkt me niet echt 'the way to go'

Het makkelijkste lijkt me dat je ze hun username/password combinatie laat invoeren - jij authenticeert vervolgens via LDAP aan hun active directory en als je correct kan binden (zie even naar http://www.php.net/ldap_bind) met de gegeven username/password is het juist.

Vervolgens hoef je de username en password niet op te slaan - en creeer je geen security lek

Een andere 'oplossing' zou je kunnen bewerkstelligen door met VBScript op de clientside de NetworkUsername (oid) uit te lezen en dit mee te laten posten, maar dat is relatief gemakkelijk te faken lijkt me

[ Voor 23% gewijzigd door elevator op 06-02-2005 13:12 ]

Gevonden:

Hier wordt uitgelegd hoe je LDAP moet koppelen aan PHP

http://asia.cnet.com/buil...,39009336,39105862,00.htm

Succes er mee!

Verwijderd schreef op zondag 06 februari 2005 @ 12:55:
Uit opdracht van mijn school ben ik een mentorschaps enquete website aan het programmeren (om mening te geven over de taken die de mentor uitvoert).
Deze enquete moet beveiligd worden zodat het onmogelijk is dat een leerling de enquete voor 100 andere leerlingen gaat invullen om zo de mentor af te zeiken.
Systeembeheer wil niet nog een database met allemaal wachtwoorden voor alleen een enquete (begrijpelijk). Ik zelf wil geen database hebben met de leerlingnummers en bijbehorende windows inlog wachtwoorden. Dit zou alleen een beveiligingslek veroorzaken. Er hoeft maar 1 iemand een lek in mijn database te vinden en hij heeft toegang tot alle leerlingnummers+wachtwoorden. Nu heb ik de volgende oplossing bedacht (geen idee of hij technisch uitvoerbaar is).

1. Een leerling is op dit moment verplicht in te loggen op een schoolcomputer met zijn eigen leerlingnummer+wachtwoord.
2. Een leerling moet zijn leerlingnummer invoeren in de mentorschapsenquete.
3. Hier komt het: Het leerlingnummer dat ingevoerd wordt bij de mentorschaps enquete, moet vergeleken worden met de windows login naam. Als deze 2 overeenkomen heb ik indirect toch een wachtwoordcontrole. Een leerling kan dus alleen de mentorschapsenquete invullen als zijn leerlingnummer overeenkomt met de inloggegevens van windows. Op school gebruiken wij zowel windows 98 als XP. Weet iemand of dit technisch uitvoerbaar is? Zoja, hoe?

Het *kan* maar ik vind het een erg rommelige oplossing. Het is veel beter om PHP te laten authenticeren met het windows domein. (je wilt gebruikers i.d.d. liever niet nog eens een usernaam en wachtwoord geven). Ik heb een dergelijk systeem opgezet (draait onder Linux) dat gebruikt maakt van authenticatie op een Windows domein. Op de windows server draait daartoe een radius server (Ldap ligt daarvoor tegenwoordig meer voor de hand) waartegen geauthenticeerd wordt.

Om single signon over meerdere webservers mogelijk te maken gebruik ik daartussen nog een zelf (in Perl) geschreven webauthenticatiedaemon i.c.m. een in php geschreven authenticatie class. Dat geheel werkt al een jaartje of 5 zeer betrouwbaar met tienduizenden users.

Ander idee: Als het om enquetes gaat en als de gebruikers allemaal bekende mailadressen hebben zou je iedere gebruiker een mailtje met het verzoek om de enquete in te vullen kunnen sturen. In dat mailtje neem je dan een unieke link op, bijv:

http://www.server.nl/enqu...c878f0b9c32d13454f1ca8c98

Door het klikken op die link kan een gebruiker eenmalig de enquete invullen.

Dit laatste systeem heb ik wel eens toegepast om enquetes door externe gebruikers te kunnen laten invullen. Mensen waarvoor ik geen authenticatie kon gebruiken.

Kickasz schreef op zondag 06 februari 2005 @ 13:16:
Gevonden:

Hier wordt uitgelegd hoe je LDAP moet koppelen aan PHP

http://asia.cnet.com/buil...,39009336,39105862,00.htm

Succes er mee!

Hiermee kun je dus tegen windows authenticeren (Active Directory)

LDAP is een standaard onderdeel van Active Directory ja

NTLM authentication, kun je daar niet iets mee? Zo lang PHP draait onder Windows/IIS lijkt mij dat de makkelijkste oplossing.

Ik heb zoiets wel vaker meegemaakt en zoals alienfruit al zei is NTLM een aardige optie.

Draai je je webserver onder IIS? Zet dan de beveiliging van die ene pagina waarop je de gebruikersnaam wilt hebben op 'no annonymous' ofzoiets. Dan heb je de beschikking over de REMOTE_USER variabele. Ook met apache kan het maar dan moet wel mod_ntlm draaien maar dat is opzich een fluitje van een cent. Dan kun je op iedere pagina de windowslogin opvragen. Dit werkt trouwens alleen als de webserver op het zelfde netwerk zit als de webserver....


Zo heb ik het tenminste opgelost in verschillende intranetten bij verschillende klanten.

Ja, voor mij werkt het ook prima.

Andere oplossing: (puur theorie, niet getest )
Cookies worden onder IE/windows gewoon opgeslagen als kleine textfiles.
Zo heb ik bijvoorbeeld $USERNAME@gathering.tweakers[1].txt in C:\Documents and Settings\$USERNAME\Cookies (nee, dat is geen link, dat maakt Got er van..)
($USERNAME is mijn loginnaam).
Dit zijn simpele textfiles, met een paar regels. Het moet redelijk simpel zijn om het formaat uit te zoeken. Heb iig ff met google dit gevonden: http://www.littlepiggy.net/cookies/ie6.php (maar ook dat niet getest).
Nu komt de truuk: Je kan het systeembeheer vragen om bij het inloggen een cookie file neer te zetten op de juiste plaats, met daarin enkele gegevens. Bijvoorbeeld het leerlingnr. Maar als je het beter wil beveiligen kan je ook een hash nemen, en die in een db opslaan, samen met leerlingnummers. Als het goed is kan je dan die cookies weer opvragen in je site.
Nogmaals, ik heb het niet getest, maar het zou goed kunnen dat het werkt . Als je het test: laat het even weten, ben wel benieuwd .

Zoek hier op het forum eens op het programmatje userserver onder mijn naam

Dit kan heel simpel..

benodigdheden: IIS 6 (windows 2003) server.
Anynomous acces uitschakelen..

Wanneer de pagina nu bezocht wordt krijg je de Windows Gebruikersnaam in een server variabele (net als wat al eerder genoemd is voor gebruik bij ASP).

De server moet wel in het zelfde domein staan als de client, omdat aan de hand van de username van de client gekeken wordt of die in het active directory bestaat (of in die richting).

Ik heb het geheel ook draaien op me stage op bovenstaande manier.

Dit werkt wel.. echter krijg je bij mij telkens een login prompt, en komt de username niet direct in de variabel te staan. De server draait onder het domein..op IIS6

Hoe is dit dan te veranderen?

Staat 'Integrated Authentication' oid aan, en gebruik je wel IE ?

beide staan aan, maar blijf het login prompt krijgen..

Verwijderd schreef op dinsdag 08 februari 2005 @ 19:42:
beide staan aan, maar blijf het login prompt krijgen..

Ik zal morgen op me werk even kijken hoe het daar ingesteld staat, daar krijgen we geen login scherm vanaf 2000 en xp computers. 2003 computers willen wel schermpjes geven...

PanMan schreef op dinsdag 08 februari 2005 @ 02:02:
Andere oplossing: (puur theorie, niet getest )
Cookies worden .....

Elke klootviool kan cookies wijzigen. Dus nee, dit is niet bepaald een verstandige oplossing. Hmkay...

Grijze Vos schreef op dinsdag 08 februari 2005 @ 21:24:
[...]

Elke klootviool kan cookies wijzigen. Dus nee, dit is niet bepaald een verstandige oplossing. Hmkay...

Dus? Dat is echt een BS argument. Jij zit ook hier op Got ingelogd via cookies. Die je zelf kan wijzigen. Maar het lukt je (als het goed is ) niet om als mij ingelogd te raken. Terwijl je wel zelf je cookie kan aanpassen, zelfs naar mijn cookie. Maar de inhoud daarvan weet je niet (als het goed is ). Dus echt een onzinargument. Alleen ff nadenken over dat je een goede unieke var in de cookie zet, b.v. een random hash, zoals ik al zei....

PanMan schreef op woensdag 09 februari 2005 @ 01:29:
[...]


Dus? Dat is echt een BS argument. Jij zit ook hier op Got ingelogd via cookies. Die je zelf kan wijzigen. Maar het lukt je (als het goed is ) niet om als mij ingelogd te raken. Terwijl je wel zelf je cookie kan aanpassen, zelfs naar mijn cookie. Maar de inhoud daarvan weet je niet (als het goed is ). Dus echt een onzinargument. Alleen ff nadenken over dat je een goede unieke var in de cookie zet, b.v. een random hash, zoals ik al zei....

GoT gebruikt niet enkel dooie koekjes om te authenticeren, verder was de tip om de filename van een cookie te gebruiken, om hiermee te authenticeren.
Niet om daadwerkelijk met cookies te gaan werken.

En in dat geval, kan je inderdaad een cookie wijzigen (filename wijzigen van leerling12345@enquete.blaat.nl naar leerlng123251@enquete.blaat.nl )

Althans, als ik het goed begreep.

Ik heb het wellicht niet goed uitgelegd: Die $USERNAME is gewoon hier mijn username op Windows. Ik bedoelde (net als GoT, geloof ik), om een cookie te zetten met een ander progje, met daarin b.v. een hash. Deze kan je dan uitlezen in je site.

Zoals beloofd een screenshot van hoe ik de beveiliging heb voor het intranet.



Krijg je wel een inlogscherm dan moet je de gebruiker laten inloggen met:
DOMEIN\USERNAME
PASSWORD

Doormiddel van de volgende code haal ik de username op:

Cookies kun je wijzigen, maar als je een MD5 hash hebt van een leerling nummer (+ salt) dan voorkomt dat nog steeds fraude. De kans dat iemand het goed gokt is te verwaarlozen. Voor de zekerheid zou je die cookie dan wel een beperkte ACL moeten geven

interresant topic, ik ben de laatste tijd ook wat aan het testen met IIS en beveiligde pagina's, ben overignes een grote noob wat dit betreft, normaal gesproken kom ik neit verder dan wat gewone html

ik heb hier een domein met daarin een dc met win2k en IIS waarop ik een intranet site heb draaien.

nu wil ik een pagina maken waar collega's persoonlijke info kunnen raadplegen dus ik heb onder de "intranet" Site een nieuwe Virtual Directory gemaakt: test ,met als local path: C:\Inetpub\intranet\test en daarin staat een bestandje test.html.

ik wil dus dat deze pagina niet door iedereen gezien kan worden maar een pagina met persoonlijke info. Om te beginnen heb ik bij de directory security anonymous acces uitgezet en alleen Basic Authentication staat aan want ik wil dat mensen echt een username en password moeten invullen.

vervolgens ga ik vanaf mijn pc naar http://intranet/test/test.html krijg een login scherm vul mijn user en pass in krijg de pagina te zien. Vervolgens probeer ik in te loggen met een ander acount in hetzelfde domein/active dir. en die krijgt geen toegang ik geef dat account admin rechten en krijg wel toegang.... vervolgens haal ik admin rechten weer weg bij dat acount en ik krijg nog steeds WEL toegang.

vaag... ik testen, pak een ander acount zonder admin rechten ga naar http://intranet/test/test.html en krijg geen toegang. ik geef het acount admin rechten, krijg vervolgens wel toegang... ik haal de admin rechten weer weg en kan nog steeds met dat acount inloggen... euh vaag?

iemand enig id wat er mis gaat met die rechten? ik voel me nu een beetje

Klein beetje offtopic over het gedoe in februari.

Waarom laat je je leerlingen inloggen in Windows? Deze gegevens kunnen, dacht ik, gemakkelijk achterhaald worden door een stel slimmeriken. Handiger lijkt het mij dan om via een stukje software als Novell Netware (hebben wij toevallig) de gebruikers toegang te geven.

Chaoss, open liever een nieuw topic waarin je verwijst naar dit topic. Zoals je nu al ziet wordt er gereageerd op een discussie die allang dood was en deze discussie voor de mensen die erover gingen waarschijnlijk niet eens meer speelt. Bovendien is een eigen topic handiger voor jou omdat je dan geen reacties op andere posts tussendoor gaat krijgen.

Open dus liever een nieuw topic.