Autor Zpráva
Maii99
Profil *
Zdravím, rád bych znal názor zkušených PHP programátorů. Pro vnitřní potřebu organizace (cca 50 uživatelů) vytvářím php aplikaci na přihlašování různých událostí (školení, firemní akce). Já sám jsem samouk PHP, ale protože aplikace má mít určitá specifika (odesálání událostí a schůzek do kalendáře MS Outlook) a technicky by to nemuselo být složité tak jsem se rozhodl, že to napíšu sám. Teď k předmětu.

Uživatelé se přihlašují a ověřují do aplikace oproti Windows doméně (to velmi dobře funguje, až mě překvapilo jak dobře :)). Poté pokud je ověřen, jsou do databáze vloženy/aktualizovány údaje z AD (jméno, příjmení, mail, Username) a dále session ID a čas.

Na každém souboru mám na začátku "include", které zkontroluje, zda jeho aktuální session ID odpovídá té v databázi a zda čas uložený v databázi není větší o "nějakou dobu" než skutečný čas a pokud vše sedí v databázi se uživateli aktualizuje čas na nyní a zobrazí se mu obsah stránky.

Chtěl bych znát Váš názor, jak moc bezpečný je tento způsob přihlašování a jak moc je toto náročné na databázi, případně jak byste to řešili Vy. Vyvstanul zde totiž požadavek, "vystrčit" aplikaci Ven, aby se mohli přihlašovat i mimo firmu.

Děkuji za Názory
Enko
Profil
Ahoj,
přihlašování pomocí AD je skvělá věc pro uživatele (SSO). Před nějakým časem jsem o tom začal psát miniseriál. K ověřování přes Active Directory se používá LDAP protokol, stejně tak k načítání informací o uživatelích. Pokud chceš přihlášení z venku, doporučuji na to využít nějaké již hotové řešení, například přes ADFS (jsou na to již hotové i nějaké knihovny v PHP), než tovje vlastní řešení, které určitě nebude bezvadné. Při pokusu o přihlášení musíš zabránit DOS a BruteForce útoku, atd... není to úplně triviální věc a musíš přemýšlet nad hodně možnostmi.

Jak se pracuje v Active Directory z PHP najdeš tady na mém webu. Rád ti s tím pomůžu, v této problematice se pracovně věnuji již několik let. Napiš mi sem případné konkrétní dotazy, rád ti odpovím.
Maii99
Profil *
Díky za odpověď. Hezký seriál. Škoda, že jsem o něm nevěděl dříve. Nicméně technologie přihlašování funguje. DOS a Brute Force by měl řešit řešit Juniper, co máme (resp. budeme mít) na vstupu do sítě. Navíc to, že to bude vystrčené ven neznamená přímé přesměrování, ale veřejná IP je na poskytovatele, který to přes brány a firewally předává k nám na základě rozkladu adresy (www.neco.cz/firma/jakési_ID/sluzba) kde je další hardwarový firewall a teprve poté se to dostává na softwarový router a následně hardwarový router. Nicméně asi to stejně nakonec nedám ven, protože si uživatelé ještě vybrečeli emailové upozornění, tak teď testuji posílání meetingu do Exchange/Outlooku (ical) a tohle prostě ven nedám.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: