Php 递归显示用户所属的所有Active Directory组

我有下面的脚本，检查广告访问，然后在一个特定的组内，检查成员资格

如何显示用户有权访问的每个组，包括非直接访问的组-例如-user-userA、in-group-groupA和groupB中的groupA，我希望它显示groupB和groupA

我错过了什么

<?php
        //ini_set('display_errors', 1);
        session_start();
        //ini_set('display_startup_errors', 1);
        //error_reporting(E_ALL);
//      require_once('assets/config.php');

        $ldap_server = "ldap*************************";


 if(isset($_SESSION['itssd_user'])) {
    $submittedusername = $_SESSION['itssd_user'];
 }
 if(isset($_SESSION['itssd_pw'])) {
    $submittedpassword = $_SESSION['itssd_pw'];
 }


        //$ro_access_group='CN=****,OU=Service Desk,OU=Customer Services,OU=ITS,OU=Groups,DC=registry,DC=otago,DC=ac,DC=nz';
        $ro_access_group='DC=registry,DC=otago,DC=ac,DC=nz';
        // Connect to the LDAP server
        $ldap = ldap_connect($ldap_server);

function inGroup($ldapConnection, $userDN, $groupToFind) {
    $filter = "(memberof:1.2.840.113556.1.4.1941:=".$groupToFind.")";
    $search = ldap_search($ldapConnection, $userDN, $filter, array("dn"), 1);

    $items = ldap_get_entries($ldapConnection, $search);
    echo "<pre>";
        echo var_dump($items)."<br>";
    echo "</pre>";
    if(!isset($items["count"])) {
        return false;
    }
    return (bool)$items["count"];
}
        if ($ldap) {
                // Connect to the database for querying.
//              $dbConn = connectDB();
                //$dn = "cn=" . $submittedusername . ",ou=Users,ou=Otago,dc=registry,dc=otago,dc=ac,dc=nz";

                $dn = "registry\\".$submittedusername;

                $basedn = "dc=registry,dc=otago,dc=ac,dc=nz";
                if (($submittedpassword == "") OR ($submittedpassword == NULL)) {
                        $loginResult = 'INVALIDUSER';
                } else {
                        // Now attempt to bind
                        if (ldap_bind($ldap, $dn, $submittedpassword)) {
                                $search_user=ldap_search($ldap, $basedn, "(sAMAccountName=".$submittedusername.")");
                                if($search_user){
                                echo 'Authenticated';
                                }

                                $user_details=ldap_get_entries($ldap, $search_user);
                                //$ro_name=$user_details[0]["displayname"][0];
                                if(!$user_details){
                                        $loginResult = "INVALIDUSER";
                                        echo 'null user details<br>'.sizeof($user_details);
                                }
                                else{
                                        //echo "<pre>";
                                            //echo var_dump($user_details[0])."<br>";
                                        //echo "</pre>";

                                         if(isset($user_details[0]["memberof"][0])) {
                                        $groupCount = $user_details[0]["memberof"]["count"] - 1;
                                        for ($i = 0; $i <= $groupCount; $i++) {
                                            echo $user_details[0]["memberof"][$i];
                                            echo "<br>";
                                        }
                                    }
                                        $_SESSION['itssd_email_messages_count'] = 0;
                                        $_SESSION['itssd_notifications_count'] = 0;
                                        $_SESSION['itssd_username'] = $submittedusername;
                                        $_SESSION['itssd_date_view'] = date('Y-m-d', time());
                                        $_SESSION['itssd_prod'] = FALSE;
                                        if (inGroup($ldap, $user_details[0]["dn"], $ro_access_group)) {
                                                $loginResult = "Authorised";
                                        } else {
                                                //echo "<br/><br/><br/>".$submittedusername." not in group ".$ro_access_group;
                                                //echo "<br/>".$user_details[0]["memberof"];
                                                //echo var_dump($user_details[0]["memberof"]);
                                                //echo "<br/><br/>";
                                                echo inGroup($ldap, $user_details[0]["dn"], $ro_access_group);
                                                $loginResult = "INVALIDUSER";
                                        }
                                }
                        } else {
                                $loginResult = 'INVALIDUSER';
                        }
                        $submittedpassword = NULL;
                }
                echo $loginResult;

        }
?>

---

在您的
inGroup
方法中，将其用于您的筛选器：

$filter=“（&（differentiedname=$groupToFind）（成员：1.2.840.113556.1.4.1941:=$userDN））”

将首先按DN选择组，然后检查是否按其DN递归地包含成员

编辑

如果希望搜索返回用户所属的所有组，请使用此筛选器：

$filter=“（&（objectClass=group）（成员：1.2.840.113556.1.4.1941:=$userDN））”

比如：

上面的
$allGroups
将包含用户直接或间接属于的每个组（例如属于不同组的组等）。然而，
DC=registry，DC=otago，DC=ac，DC=nz
真的是您域的“基本”级别吗？这应该是
ldap\u search
的第二个参数
 谢谢你，因此，通过使用修改后的$filter变量，我如何显示彼此关联的每个组？我更新了它，使其包含一个过滤器，该过滤器还可以返回用户在与
ldap\u search
一起使用时所属的所有组。干杯-好的，我更改了代码以显示特定用户的membersOf属性
if（isset（$user_details[0][“memberof”][0]）{$groupCount=$user_details[0][“memberof”][“count”]-1；用于（$i=0；$i基本上是从用户开始，然后再向上查找—尝试查找用户关联的每个组，例如—用户是组a、B、C，然后查找组a所在的每个组，依此类推，直到我到达域的顶部。请参见上文，我添加了一些额外的详细信息。使用
$filter=“&（objectClass=group）（成员：1.2.840.113556.1.4.1941:=$userDN））“；
将返回用户所属的所有递归组。
$filter = "(&(objectClass=group)(member:1.2.840.113556.1.4.1941:=$userDN))";
$search = ldap_search($ldapConnection, 'DC=registry,DC=otago,DC=ac,DC=nz', $filter, array("cn"));

$allGroups = ldap_get_entries($ldapConnection, $search);