Active Directory LDAP Authentication toevoegen in Laravel

zaterdag 21 oktober 2017 23:10

Acties:

0 Henk 'm!

Hugo Boss

Topicstarter

Mijn vraag

Ik heb een webapp(gemaakt in Laravel) waar ik nu nog handmatig accounts in aanmaak. Maar deze wil ik koppelen aan de active directory van mijn werkgever, zodat collega's direct kunnen inloggen met hun eigen login. Heeft iemand hier ervaring mee en hoe ik dit exact moet implementeren?

Relevante software en hardware die ik gebruik
Laravel

Wat ik al gevonden of geprobeerd heb

https://laracasts.com/dis...dap-authentication?page=1
https://github.com/ccovey/ldap-auth

En nog meer, alleen is hetvoor mij wat heel onduidelijk.
Hoop dat iemand mij een zetje in de goede richting kan geven..

[ Voor 6% gewijzigd door H.Boss op 21-10-2017 23:11 ]

"Would you prefer my normal method of conflict resolution?" - Dexter Morgan-

zaterdag 21 oktober 2017 23:22

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

Vraag het aan je ICT afdeling?

Of denk je dat LDAP & AD "zomaar" over het internet worden gestuurd?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

zaterdag 21 oktober 2017 23:25

Acties:

0 Henk 'm!

H.Boss

Hugo Boss

Topicstarter

MAX3400 schreef op zaterdag 21 oktober 2017 @ 23:22:
Vraag het aan je ICT afdeling?

Of denk je dat LDAP & AD "zomaar" over het internet worden gestuurd?

Ik heb een LDAP server die ik dien te koppelen aan de webapp.
Deze webapp is in eigen tijd gemaakt en zo'n succes dat ze alle medewerkers hierop willen kunnen laten inloggen.

En krijg daarbij geen ondersteuning van de ICT afdeling, omdat het geen programmeurs zijn die daar werken.
Heb wel een subdomein en de LDAP server gekregen.

[ Voor 4% gewijzigd door H.Boss op 21-10-2017 23:26 ]

"Would you prefer my normal method of conflict resolution?" - Dexter Morgan-

zaterdag 21 oktober 2017 23:30

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

Dan lijkt me dat je een probleem hebt?

Trouwens, dat een ICT afdeling geen programmeurs heeft, wil niet zeggen dat je geen ondersteuning kan krijgen. Andersom; JIJ geeft ons niet eens info of je LDAP over een LAN-VLAN wil koppelen of over WAN.

Andersom; als werkgever zou ik wel 100% zeker willen weten dat jouw webapp geen datalekken/vulnerabilities heeft waardoor er issues met LDAP kunnen ontstaan?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

zaterdag 21 oktober 2017 23:36

Acties:

0 Henk 'm!

H.Boss

Hugo Boss

Topicstarter

MAX3400 schreef op zaterdag 21 oktober 2017 @ 23:30:
Dan lijkt me dat je een probleem hebt?

Trouwens, dat een ICT afdeling geen programmeurs heeft, wil niet zeggen dat je geen ondersteuning kan krijgen. Andersom; JIJ geeft ons niet eens info of je LDAP over een LAN-VLAN wil koppelen of over WAN.

Andersom; als werkgever zou ik wel 100% zeker willen weten dat jouw webapp geen datalekken/vulnerabilities heeft waardoor er issues met LDAP kunnen ontstaan?

Hoezo heb ik een probleem? Ik vraag hier of iemand hier ervaring mee heeft en of die mij een zetje in de goede richting kan geven. En niet of iemand het voor mij oplost.

Er moet het e.e.a. geïmplementeerd worden in Laravel en daar kan de ICT afdeling mij niet bij helpen.
De webapp is alleen via het interne netwerk te benaderen.

Maar ik ga verder zoeken op het internet. Dank voor jouw hulp!

"Would you prefer my normal method of conflict resolution?" - Dexter Morgan-

zondag 22 oktober 2017 00:34

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

H.Boss schreef op zaterdag 21 oktober 2017 @ 23:36:
[...]

Hoezo heb ik een probleem? Ik vraag hier of iemand hier ervaring mee heeft en of die mij een zetje in de goede richting kan geven. En niet of iemand het voor mij oplost.

Goed, je post een aantal zaken zonder al te veel informatie; dan ga ik er dus vanuit dat jouw ICT Afdeling de enige is die de correcte informatie kan opleveren. Dat is het eerste zetje al aangezien je bepaalde credentials nodig hebt en een connectie naar een LDAP-server.

Als ik dan even teruglees en puur constateer:
- startpost vermeldt niets over een lokale LDAP-server
- startpost vermeldt niets over errors/warnings die je krijgt met GitHub ldap-auth
- je vermeldt niet eens of je op hetzelfde LAN uberhaupt LDAP kan raadplegen met Linux of Windows.

Heb wel een subdomein en de LDAP server gekregen.

Een subdomein? Heb je een DSN-subdomein gekregen of heb je een child domain gekregen in het forest? Dat is namelijk een enorm verschil in wat je bedoelt en hoe je eventueel (if any) kan connecten. Sterker nog, als je al een LDAP-server hebt, dan is die al verbonden met de Active Directory database en zou je dus op die server al kunnen querien (Powershell of andere tooling).

Maar ik ga verder zoeken op het internet. Dank voor jouw hulp!

Test dan in ieder geval eens http://www.forumsys.com/t.../online-ldap-test-server/ als de server/credentials nog werken.

Verder staat er op https://laravel.io/forum/07-01-2014-laravel-and-ldap een uitgebreid stuk code (wat mogelijk/gedeeltelijk ook in de startpost kon) over hoe je een connectie-string opbouwt en van daaruit queries kan gaan uitvoeren.

Zoals je merkt/ziet; het is geen onwil maar het is een redelijk misverstand over wat jij post, hoe je bepaalde informatie aanlevert en welke stappen je wel/niet al hebt kunnen testen. Nog even afgezien van het feit dat je het hebt over "active directory" en dan moeten we maar de aanname doen dat dit van Microsoft is? Er zijn zat alternatieven die bijna 100% de functies van Microsoft Active Directory aanbieden.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

zondag 22 oktober 2017 02:34

Acties:

0 Henk 'm!

H.Boss

Hugo Boss

Topicstarter

MAX3400 schreef op zondag 22 oktober 2017 @ 00:34:
[...]

Goed, je post een aantal zaken zonder al te veel informatie; dan ga ik er dus vanuit dat jouw ICT Afdeling de enige is die de correcte informatie kan opleveren. Dat is het eerste zetje al aangezien je bepaalde credentials nodig hebt en een connectie naar een LDAP-server.

Als ik dan even teruglees en puur constateer:
- startpost vermeldt niets over een lokale LDAP-server
- startpost vermeldt niets over errors/warnings die je krijgt met GitHub ldap-auth
- je vermeldt niet eens of je op hetzelfde LAN uberhaupt LDAP kan raadplegen met Linux of Windows.

[...]

Een subdomein? Heb je een DSN-subdomein gekregen of heb je een child domain gekregen in het forest? Dat is namelijk een enorm verschil in wat je bedoelt en hoe je eventueel (if any) kan connecten. Sterker nog, als je al een LDAP-server hebt, dan is die al verbonden met de Active Directory database en zou je dus op die server al kunnen querien (Powershell of andere tooling).

[...]

Test dan in ieder geval eens http://www.forumsys.com/t.../online-ldap-test-server/ als de server/credentials nog werken.

Verder staat er op https://laravel.io/forum/07-01-2014-laravel-and-ldap een uitgebreid stuk code (wat mogelijk/gedeeltelijk ook in de startpost kon) over hoe je een connectie-string opbouwt en van daaruit queries kan gaan uitvoeren.

Zoals je merkt/ziet; het is geen onwil maar het is een redelijk misverstand over wat jij post, hoe je bepaalde informatie aanlevert en welke stappen je wel/niet al hebt kunnen testen. Nog even afgezien van het feit dat je het hebt over "active directory" en dan moeten we maar de aanname doen dat dit van Microsoft is? Er zijn zat alternatieven die bijna 100% de functies van Microsoft Active Directory aanbieden.

Ik heb 0,0 verstand van servers.
Alleen hoe je webapps maakt en deze kan plaatsen op een domein.
Het domein wat ik heb gekregen is een sub-domein(naam.xxxxx.nl) en dat is alles wat ik weet.
Die werkt ook gewoon goed verder en de app draait daar goed op.

Maar heb even proberen te connecten(LDAP server) met een standaard PHP bestandje en ik krijg geen verbinding.
Maandag neem ik even contact op met automatisering om dit te dubbelchecken.

Ik ga de materie op de websites goed doornemen.
Erg bedankt voor jouw geduld en hulp!!

"Would you prefer my normal method of conflict resolution?" - Dexter Morgan-

zondag 22 oktober 2017 23:01

Acties:

0 Henk 'm!

PageFault

Kijk of je met de softerra ldap browser (gratis) toegang kunt krijgen tot de server. Als dat lukt, weet je alle parameters voor jouw code.

De servernaam moet goed zijn, de poort 389 voor non secure, 6xx voor secure.

Type authentication, anonymous of bijv. Simple (username plus wachtwoord). De base OU waar je gaat graven.

Bij sommige servers moet je een compleet CN opgeven als username.

zondag 22 oktober 2017 23:06

Acties:

+1 Henk 'm!

Koenvh

Hier tekenen: ______

Welke versie van Laravel gaat het over? Die ldap-auth is voor Laravel 4, dus ik weet niet of dat nog gaat werken.
https://github.com/Adldap2/Adldap2-Laravel werkt als het goed is wel, en heeft een redelijk duidelijke documentatie over wat je nodig hebt.

🠕 This side up

maandag 23 oktober 2017 11:01

Acties:

+1 Henk 'm!

Mud

Je kunt gebruik maken van IIS en integrated authentication indien je netwerk voldoet aan de volgende eisen:

De ldap server dient bereikbaar te zijn vanaf de webserver,
De pc's van de gebruikers staan geregistreerd in het domein
De gebruikers loggen in met hun domein account

Zodra de website in de 'Lokale intranet' zone staat van IE, loggen de gebruikers automatisch op de website.

Je kunt gebruik maken van de $_SERVER['AUTH_USER'] string om de gebruikersnaam op te halen

maandag 23 oktober 2017 12:37

Acties:

0 Henk 'm!

Harrie_

⠀　　　　　　　　　　　　　　　　　　🔴 🔴 🔴 🔴 🔴

Vanuit PHP gebruikmaken van de AD en single sign-on is haast niet te doen mits je voldoet aan hetgeen @Mud hierboven meldt. Ik gok dat je webapp op apache draait? In dat geval zou ik er persoonlijk niet aan beginnen want het is een hel om werkend te krijgen of je inderdaad al op een IIS server zitten...

_{Offtopic: Verder misschien handig als dit topic door een mod naar programming wordt verplaatst...}

Hoeder van het Noord-Meierijse dialect

maandag 23 oktober 2017 12:40

Acties:

0 Henk 'm!

maarud

Harrie_ schreef op maandag 23 oktober 2017 @ 12:37:
Vanuit PHP gebruikmaken van de AD en single sign-on is haast niet te doen mits je voldoet aan hetgeen @Mud hierboven meldt. Ik gok dat je webapp op apache draait? In dat geval zou ik er persoonlijk niet aan beginnen want het is een hel om werkend te krijgen of je inderdaad al op een IIS server zitten...

_{Offtopic: Verder misschien handig als dit topic door een mod naar programming wordt verplaatst...}

Met php-ldap was het anders toch binnen 15 minuten gelukt in Symfony, op Apache2 op Windows. Zo spannend is het niet hoor

SSO is wellicht wat lastiger (in IIS wel makkelijk idd) maar gewoon inloggen is niet moeilijk.

[ Voor 6% gewijzigd door maarud op 23-10-2017 12:41 ]

maandag 23 oktober 2017 12:53

Acties:

0 Henk 'm!

Harrie_

⠀　　　　　　　　　　　　　　　　　　🔴 🔴 🔴 🔴 🔴

maarud schreef op maandag 23 oktober 2017 @ 12:40:
[...]

Met php-ldap was het anders toch binnen 15 minuten gelukt in Symfony, op Apache2 op Windows. Zo spannend is het niet hoor SSO is wellicht wat lastiger (in IIS wel makkelijk idd) maar gewoon inloggen is niet moeilijk.

Apache op windows

Ik ging er gemakshalve ook even vanuit dat apache gewoon op een linux-webserver draait. Goed, misschien is mijn kennis op dit gebied wat achterhaald, het is al een aantal jaar geleden dat ik met deze problematiek te maken heb gehad...

Hoeder van het Noord-Meierijse dialect

maandag 23 oktober 2017 13:34

Acties:

0 Henk 'm!

Mud

maarud schreef op maandag 23 oktober 2017 @ 12:40:
[...]

Met php-ldap was het anders toch binnen 15 minuten gelukt in Symfony, op Apache2 op Windows. Zo spannend is het niet hoor SSO is wellicht wat lastiger (in IIS wel makkelijk idd) maar gewoon inloggen is niet moeilijk.

Bij ons hebben we diverse trusts tussen een aantal forests en daarbij nog 1 forest met childdomains.
Inlogformulieren met php-ldap is dan echt een crime om te onderhouden (er zijn nu een aantal migraties gaande) en zie dan ook maar eens uit te leggen aan gebruikers hoe ze moeten inloggen

Als het geautomatiseerd kan, doen

zondag 12 november 2017 09:21

Acties:

0 Henk 'm!

H.Boss

Hugo Boss

Topicstarter

Na wat puzzelen is het mij gelukt de active directory aan de Laravel webapp te koppelen via LDAP.
Mocht iemand info willen hebben hierover kan diegene mij een bericht sturen.

De oplossing is de onderstaande stappen volgen..

https://github.com/Adldap2/Adldap2-Laravel

Belangrijk is het juist instellen van welke gegevens je wilt syncen met je webapp.

[ Voor 34% gewijzigd door H.Boss op 12-11-2017 11:09 ]

"Would you prefer my normal method of conflict resolution?" - Dexter Morgan-

zondag 12 november 2017 11:03

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

H.Boss schreef op zondag 12 november 2017 @ 09:21:
Na wat puzzelen is het mij gelukt de active directory aan de Laravel webapp te koppelen via LDAP.
Mocht iemand info willen hebben hierover kan diegene mij een bericht sturen.

Volgens mij is het algemener geaccepteerd als je je oplossing hier zo posten. Hebben anderen er ook wat aan als ze op Tweakers zoeken naar een vergelijkbare vraagstelling.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

zondag 12 november 2017 11:10

Acties:

0 Henk 'm!

H.Boss

Hugo Boss

Topicstarter

MAX3400 schreef op zondag 12 november 2017 @ 11:03:
[...]

Volgens mij is het algemener geaccepteerd als je je oplossing hier zo posten. Hebben anderen er ook wat aan als ze op Tweakers zoeken naar een vergelijkbare vraagstelling.

Hierboven gepost.
Dank voor de hulp nog!

"Would you prefer my normal method of conflict resolution?" - Dexter Morgan-

Vraag

Alle reacties