记一次LDAP内网认证转CURL认证的过程

最新推荐文章于 2024-04-19 15:00:00 发布
最新推荐文章于 2024-04-19 15:00:00 发布
阅读量466 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: ldap
原文链接:https://my.oschina.net/yanpengquan/blog/467201
本文探讨了在教育网环境下,将基于LDAP的认证系统迁移到外网环境时遇到的问题,并提供了三种解决方案:端口映射、反向VPN隧道和CURL模拟验证。最终,CURL方案成功实现了学生验证,避免了教育网和外网网络不稳定带来的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

原来使用PHP LDAP库进行认证,要求服务器和LDAP服务器在同一个内网才能连接。且校园网络为 教育网 内网。
原先将该系统服务器放置在内网服务器时,由于教育网问题,微信及其它网络运营商的用户无法直接访问导致大量用户被屏蔽。且现在面临将该系统放到微信上去用的需求,因此将系统迁移到外网环境。
外网环境下没法使用LDAP直连,准备了三套方案:

1、在一台有外网IP的内网机子上做端口映射,将389端口映射到LDAP服务器的389端口 2、做反向VPN隧道,即内网机器通过VPN链接到外网服务器,通过内网机器来链接LDAP 3、用CURL将学生验证从LDAP切换到学生教务系统

方案1:Windows 下的端口转发

>netsh interface portproxy add v4tov4 389 202.115.160.72 389

LDAP链接

$re = true;
$ldap_ip = 'IP被隐藏了';
$ldap_port=389;
$ldap_user='用户名被隐藏了';
$ldap_pwd='密码被隐藏了';
$ldap_conn = ldap_connect($ldap_ip,$ldap_port);
ldap_bind($ldap_conn,$ldap_user,$ldap_pwd);
$dn = 'o=西南科技大学,dc=swust,dc=edu,dc=cn';
$rs = ldap_search($ldap_conn,$dn,'(uid='.$UID.')');
$ls= ldap_get_entries($ldap_conn,$rs);
if($ls['count']==0){
      echo "用户名或密码错误";
      $re=false;
}
$pwd = $ls[0]['userpassword'][0];
if(!$this->ssha_check($Password,$pwd)){
     echo "用户名或密码错误";
     $re=false;
}
ldap_unbind($ldap_conn);
return $re;

结果:失败 原因:外网链接该LDAP转发服务器不稳定,教育网出口不稳定

方案2: 开个虚拟机,在虚拟机里面用VPN链接到外网服务器,外网无法直接连接LDAP服务器,虚拟机无法PING通LDAP服务器。 结果:失败 原因:网络

方案3: 分析教务系统学生登陆请求,用CURL模拟请求实现用户验证: 教务处地址:西南科技大学学生教务处地址

提供CURL封装函数:

function http($url, $param, $data = '', $method = 'GET'){
		$opts = array(
			CURLOPT_TIMEOUT        => 30,
			CURLOPT_RETURNTRANSFER => 1,
			CURLOPT_SSL_VERIFYPEER => false,
			CURLOPT_SSL_VERIFYHOST => false,
		);

		/* 根据请求类型设置特定参数 */
		$opts[CURLOPT_URL] = $url . '?' . http_build_query($param);

		if(strtoupper($method) == 'POST'){
			$opts[CURLOPT_POST] = 1;
			$opts[CURLOPT_POSTFIELDS] = $data;

			if(is_string($data)){ //发送JSON数据
				$opts[CURLOPT_HTTPHEADER] = array(
					'Content-Type: application/json; charset=utf-8',
					'Content-Length: ' . strlen($data),
				);
			}
		}

		/* 初始化并执行curl请求 */
		$ch = curl_init();
		curl_setopt_array($ch, $opts);
		$data  = curl_exec($ch);
		$error = curl_error($ch);
		curl_close($ch);

		//发生错误,抛出异常
		if($error) return false;;

		return  $data;
	}

登陆验证代码

 $html = $this->http('https://ids-swust.fayea.com/cas/login','',['lt'=>'LT-C439184B-D9A0-8824-399D31945DC21C39','username'=>$UID,'password'=>$Password,'service'=>'https://matrix.dean.swust.edu.cn/acadmicManager/index.cfm?event=studentPortal:DEFAULT_EVENT'],'POST');
	    if(strpos($html,'Login Success!')>0){
		    return true;
	    }else{
		    return false;
	    }

结果:成功

附:调查系统链接

转载于:https://my.oschina.net/yanpengquan/blog/467201

linux 打开网页 用curl_使用 curl 从命令行访问互联网 | Linux 中国
weixin_33068055的博客
12-23 1551
要在不使用图形界面的情况下从互联网上获取所需的信息,curl 是一种快速有效的方法。(本文字数:4904,阅读时长大约:6 分钟)下载我们整理的 curl 备忘录。要在不使用图形界面的情况下从互联网上获取所需的信息,curl 是一种快速有效的方法。curl 通常被视作一款非交互式 Web 浏览器,这意味着它能够从互联网上获取信息,并在你的终端中显示,或将其保存到文件中。从表面看,这是 Web 浏览...
微服务之API网关:Kong:插件介绍:认证插件ip-restriction之黑白名单
知行合一 止于至善
05-28 8386
kong目前提供了37个插件,其中商业收费7个,30个开源免费的插件,可以设定到api/服务/路由粒度上。 环境设定 操作 详细 概要与安装 https://blog.youkuaiyun.com/liumiaocn/article/details/80442222 kong路由功能 https://blog.youkuaiyun.com/liumiaocn/article...
curl的使用,操作LDAP,会的帮忙一下,多谢了
xwnsy86276的专栏
03-01 1590
如题目,com.opensymphony.xwork2.XWorkException,会的写一个例子,谢谢。关键就是LDAP的网络地址表示,Java异常处理中出现特殊情况解析。 ------解决方案-------------------------------------------------------- 可参考: curl 怎么在VS2008下的MFC中使用   http:
curl请求页面
weixin_30437481的博客
10-29 299
curl在linux下是一个传输数据工具,可以向服务端提交或获取数据。支持HTTP/HTTPS/FTP/FTPS/TFTP/DICT/TELNET/LDAP/FILE,提供代理、用户验证、ftp上传、SSL连接等功能。curl的传输功能都有libcurl具体实现。 其具体命令行操作可以man curl,下面介绍使用libcurl请求url。 #include <curl/cur...
Curl
子曰小玖的博客
04-28 323
https://curl.haxx.se/ command line tool and library for transferring data with URLs Supports... DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP,...
curl交叉编译使其支持ldapldaps协议
omnibots的博客
11-24 1188
需要把openssl、openldapcurl安装目录下的lib考到板子的lib目录,curl安装目录下的bin靠板子的bin目录。地址:ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/地址:https://www.openssl.org/source/地址:https://curl.se/download/
curl 使用举例详解(五)
Steven的博客
06-19 3199
原文标题为:Manual – curl usage explained 二十五、DICT先尝试几个有趣的命令:curl dict://dict.org/m:curl curl dict://dict.org/d:heisenbug:jargon curl dict://dict.org/d:daniel:web1913别名m的意思是匹配(match)并查找(find),而别名d是定义(define)
Windows版curl-7.18.2文件传输程序发布
综合上述信息,我们可以得出,该文件“curl-7.18.2-win32-nossl.zip”是一个为32位Windows系统设计的curl工具版本7.18.2的压缩包,不支持SSL协议。虽然不支持SSL可能会带来安全风险,但在某些特定环境下(比如内网...
ubuntu18.04 搭建LDAP服务器
ALIX的博客
01-27 3882
LDAP介绍 LDAP,英文全称Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是LDAP简单许多并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,因为TCP/IP对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。 安装LDAP 基于Debian系列的Ubuntu等系统,可以通过以下命令安装openldap:...
内网渗透-SSRF漏洞
小刚的博客
08-19 1415
作者:小刚 一位苦于信息安全的萌新小白帽,得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于其它用途 SSRF漏洞SSRF产生原因利用方式小案例1.请求内网资源2.端口扫描3.读取源文件4.Gopher://协议进行扩展攻击5.漏洞组合利用挖掘技巧1.传参方面2.web服务方面3.审计方面防御措施 SSRF SSRF服务器端请求伪造, 全英文Service_side Request Forgery 一般人也不住 主要利用漏洞来伪造成服务器端发起请求,比如绕过防火墙,进行内网探测,能够突破客户端获.
服务器集群配置LDAP统一认证高可用集群(配置tsl安全链接)-centos9stream-openldap2.6.2
最新发布
Karka_的博客
04-19 1875
因之前集群为centos6,已经很久没升级了,所以这次配置统一用户认证也是伴随系统升级到centos9时一起做的配套升级。新版的openldap配置大致与老版本比较相似,但有些地方配置还是有变化,另外,铺天盖地的帮助文档有相当一部分是直接搬砖过来的,所以参考时容易出错,这里将自己实践的内容一一共享,让大家更方便,更实用。另外,openldap的配置一般都采用ldif文件配置后使用命令导入,如果有人写的是要直接修改config目录下的文件的话赶紧绕道吧,那不是推荐的写法,会把你的配置搞乱的。
实现Radius+LDAP认证测试平台
yoki2009的专栏
05-27 7166
<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅
linux samba 配置ldap认证,用于Samba 的基于LDAP 的身份验证-2-Fedora Core3
weixin_39537977的博客
05-15 172
[root@linus sbin]# ./configure.plIf you need to change this, enter the full directory path, then press enter to continue.Smbldap-tools Configuration Directory Path [/etc/opt/IDEALX/smbldap-tools/] &gt...
Linux环境下通过OpenLDAP实现用户的统一认证和管理
weixin_34029680的博客
08-04 675
测试环境:OpenLDAP Server <-------------------------------------------->OpenLDAP Clientip:192.168.4.178 ip:192.168.4.177Cent...
shell创建ldap用户
爷来辣的博客
04-13 808
导语:录一下在linux中 创建ldap用户 需要先创建一个ldif文件 dn: uid=wiki-test03,ou=Group,dc=ihaozhuo,dc=com ou: Users uid: wiki-test03 sn: wiki-test03 cn: wiki-test03 givenName: wiki-test03 displayName: wiki-test03 mail: wiki-test03@ihaozhuo.com objectClass: inetOrgPerson userp
Linux - 搭建LDAP统一认证服务
11-17 8509
目的 通过以下步骤最终可使用ldap server中的用户登录一台ldap client,并允许有sudo权限。平常公司中所用的域账号以及服务器账号也许就是使用如下方式,但是应该没有这么简陋,只是借机了解一波ldap 环境信息 [root@suhw ~]# hostnamectl Static hostname: suhw Icon name: computer-vm Chassis: vm Machine ID: c9006a74a367
ldap账户策略管理--shell脚本
搬砖小胖子
09-26 905
需求: 用户密码即将到期,邮件提醒更改密码 用户密码过期,直接强制修改随机12位密码,并发送到用户邮箱 用户被锁,直接强制修改随机12位密码,并发送到用户邮箱 以下操作均在ldap服务器上进行 #!/bin/bash if [ ! -d /tmp/ldap ];then mkdir /tmp/ldap fi if [ $(date +%k) = 10 ];then rm -rf /tmp/...
LDAP实现Apache的授权与认证
weixin_34121282的博客
07-17 864
试验了一天,网上各种文档操作(基本上都是一样的。。。),然后偶得一份英文的文档,上手做了下,我了个擦,竟然都调通了。但是最后的调试还是不能做好(调试和部署)本人openldap文档首页下面是一条典型的LDAP用户信息(ldif格式):PS:该实验环境为yum所装。 #yanzongchen,People,shuyun.co...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值