zuojiankuohaophpcnp>本文介紹了如何使用 PHP 從 Active Directory (AD) 中檢索用戶所屬的組。由于 Active Directory 的索引機(jī)制限制，直接使用子字符串過(guò)濾 `member` 屬性可能無(wú)法工作。本文將探討如何通過(guò) `memberOf` 屬性更高效地獲取用戶組信息，并提供相應(yīng)的 PHP 代碼示例。</p> 在使用 PHP 與 Active Directory 集成時(shí)，一個(gè)常見(jiàn)的需求是獲取特定用戶所屬的組列表。直接通過(guò)用戶的 `member` 屬性在組對(duì)象上進(jìn)行過(guò)濾，可能會(huì)遇到問(wèn)題，尤其是在嘗試使用子字符串匹配時(shí)。這是因?yàn)?Active Directory 的索引機(jī)制默認(rèn)情況下不會(huì)對(duì) `member` 屬性進(jìn)行子字符串索引。 **Active Directory 索引機(jī)制** Active Directory 的索引機(jī)制決定了哪些屬性可以被高效地搜索。默認(rèn)情況下，`member` 屬性并沒(méi)有啟用子字符串索引。這意味著，如果嘗試使用類似 `(&(member=*userdp08*)(objectClass=group))` 的過(guò)濾器，AD 可能無(wú)法有效地執(zhí)行搜索，導(dǎo)致無(wú)法返回預(yù)期的結(jié)果。 要解決這個(gè)問(wèn)題，一種方法是修改 Active Directory 架構(gòu)，為 `member` 屬性啟用索引。但是，這需要對(duì) AD 架構(gòu)有深入的了解，并且可能會(huì)影響 AD 的性能。更推薦的方法是使用 `memberOf` 屬性。 **使用 `memberOf` 屬性** `memberOf` 屬性是用戶對(duì)象的一個(gè)屬性，它包含了該用戶所屬的所有組的 DN（Distinguished Name）。通過(guò)查詢用戶對(duì)象，并讀取其 `memberOf` 屬性，可以輕松獲取用戶所屬的組列表。 以下是一個(gè)使用 `memberOf` 屬性獲取用戶組的 PHP 代碼示例： ```php <?php // LDAP 連接信息 $ldap_host = "your_ldap_host"; $ldap_port = 389; $ldap_dn = "CN=your_admin,DC=server,DC=com"; $ldap_password = "your_password"; $ldap_base_dn = "OU=Users,DC=server,DC=com"; $username = "userdp08"; // 連接到 LDAP 服務(wù)器 $ldap = ldap_connect($ldap_host, $ldap_port); ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION, 3); ldap_set_option($ldap, LDAP_OPT_REFERRALS, 0); // 綁定到 LDAP 服務(wù)器 if (ldap_bind($ldap, $ldap_dn, $ldap_password)) { // 構(gòu)建搜索過(guò)濾器 $filter = "(sAMAccountName=$username)"; // 執(zhí)行搜索 $result = ldap_search($ldap, $ldap_base_dn, $filter, array("memberOf")); if ($result) { $entries = ldap_get_entries($ldap, $result); if ($entries["count"] > 0) { // 獲取 memberOf 屬性 $memberOf = $entries[0]["memberof"]; // 打印用戶所屬的組 echo "用戶 " . $username . " 所屬的組：\n"; for ($i = 0; $i < $memberOf["count"]; $i++) { echo $memberOf[$i] . "\n"; } } else { echo "未找到用戶 " . $username . "。\n"; } } else { echo "LDAP 搜索失?。?" . ldap_error($ldap) . "\n"; } // 關(guān)閉 LDAP 連接 ldap_close($ldap); } else { echo "LDAP 綁定失?。?" . ldap_error($ldap) . "\n"; } ?>

代碼解釋：

1. LDAP 連接信息： 根據(jù)您的 Active Directory 環(huán)境配置連接信息，包括主機(jī)名、端口、管理員 DN 和密碼。
2. 連接到 LDAP 服務(wù)器： 使用 ldap_connect 函數(shù)連接到 LDAP 服務(wù)器，并設(shè)置 LDAP 協(xié)議版本和 referrals 選項(xiàng)。
3. 綁定到 LDAP 服務(wù)器： 使用 ldap_bind 函數(shù)使用管理員憑據(jù)綁定到 LDAP 服務(wù)器。
4. 構(gòu)建搜索過(guò)濾器： 使用 sAMAccountName 屬性構(gòu)建搜索過(guò)濾器，查找特定用戶。 sAMAccountName 通常是用戶的登錄名。
5. 執(zhí)行搜索： 使用 ldap_search 函數(shù)執(zhí)行搜索，并指定要檢索的屬性為 memberOf。
6. 獲取 memberOf 屬性： 從搜索結(jié)果中提取 memberOf 屬性，該屬性包含用戶所屬的組的 DN 列表。
7. 打印用戶所屬的組： 循環(huán)遍歷 memberOf 屬性，并打印每個(gè)組的 DN。
8. 關(guān)閉 LDAP 連接： 使用 ldap_close 函數(shù)關(guān)閉 LDAP 連接。

注意事項(xiàng)：

• 確保已安裝并啟用了 PHP 的 LDAP 擴(kuò)展。
• 替換代碼中的 LDAP 連接信息為您的實(shí)際環(huán)境信息。
• 該代碼僅檢索組的 DN。如果需要獲取組的其他屬性（例如 cn），則需要使用組的 DN 再次查詢 LDAP 服務(wù)器。
• sAMAccountName 是一個(gè)常用的用戶登錄名屬性，但您的 Active Directory 環(huán)境可能使用其他屬性。請(qǐng)根據(jù)實(shí)際情況修改搜索過(guò)濾器。

總結(jié)：

使用 memberOf 屬性是獲取 Active Directory 用戶組信息的一種更高效、更可靠的方法，特別是當(dāng)您無(wú)法或不希望修改 Active Directory 架構(gòu)時(shí)。通過(guò)查詢用戶對(duì)象并讀取其 memberOf 屬性，您可以輕松獲取用戶所屬的組列表。 提供的 PHP 代碼示例演示了如何使用 memberOf 屬性從 Active Directory 中檢索用戶組信息。

以上就是使用 PHP 從 Active Directory 獲取用戶組的詳細(xì)內(nèi)容，更多請(qǐng)關(guān)注php中文網(wǎng)其它相關(guān)文章！