$name: $addr\n"; } }

Sterownik PDO SQL Servera zawsze wykonuje zapytania tak, jakby były to polecenia predefiniowane, nawet jeśli są one wykonywane przy użyciu metody PDO::query(). Jeżeli nie wykonujesz tego samego zapytania wielokrotnie, podejście takie może nieco obniżać wydajność komunikacji z bazą danych. Możesz jednak użyć atrybutu PDO::SQLSRV_ATTR_DIRECT_QUERY, który wyłącza wykonywanie poleceń predefiniowanych. Atrybutu tego używa się w następujący sposób: $dbh->setAttribute(PDO::SQLSRV_ATTR_DIRECT_QUERY, true);

Powyższa instrukcja wyłącza wykonywanie poleceń predefiniowanych w ramach połączenia, nawet jeżeli zapytania będą wykonywane przy użyciu metod prepare() i execute(). Za pomocą tego samego atrybutu można też uzyskać odpowiednik polecenia predefiniowanego, co widać na rysunku 12.20. Zamiennie zamiast ustawiać atrybut na poziomie połączenia, można też przekazać go do metody PDO::prepare(), jak na listingu.

326 CZĘŚĆ II SQL Server LISTING 12.20. Polecenie predefiniowane z atrybutem PDO::SQLSRV_ATTR_DIRECT_QUERY $stmt = $dbh->prepare("SELECT EmailAddress FROM SalesLT.Customer WHERE LastName = ?", array(PDO::SQLSRV_ATTR_DIRECT_QUERY => true)); $stmt->bindValue(1, 'Brown'); $stmt->execute();

Włączenie trybu bezpośredniego wykonywania zapytań daje możliwość korzystania z tabel tymczasowych w różnych zapytaniach i ustawiania opcji bazy danych. Listing 12.21 zawiera kompletny przykład, w którym ustawiany jest język dla połączenia. Wynik działania kodu z listingu 12.21 znajduje się na rysunku 12.6. LISTING 12.21. Ustawienie języka dla bazy danych przy użyciu atrybutu PDO::SQLSRV_ATTR_DIRECT_QUERY addElement('p', 'Nazwa bieżącego miesiąca w różnych językach.'); $dbh = new PDO("sqlsrv:server=(local)"); $dbh->setAttribute(PDO::SQLSRV_ATTR_DIRECT_QUERY, true); $stmt = $dbh->query('SET LANGUAGE Greek'); $stmt = $dbh->query("SELECT DATENAME(month, CURRENT_TIMESTAMP)"); $page->addElement('p', 'Po grecku: ' . $stmt->fetchColumn(0)); $stmt = $dbh->query('SET LANGUAGE Finnish'); $stmt = $dbh->query("SELECT DATENAME(month, CURRENT_TIMESTAMP)"); $page->addElement('p', 'Po fińsku: ' . $stmt->fetchColumn(0)); $stmt = $dbh->query("SET LANGUAGE 'Traditional Chinese'"); $stmt = $dbh->query("SELECT DATENAME(month, CURRENT_TIMESTAMP)"); $page->addElement('p', 'W tradycyjnym chińskim: ' . $stmt->fetchColumn(0)); $page->printPage(); ?>

RYSUNEK 12.6. Ustawianie opcji języka dla bazy danych

ROZDZIAŁ 12. PHP i SQL Server 327

Pobieranie wyników PDO udostępnia kilka metod pobierania wyników. Dane wynikowe można pobrać na przykład w tabeli asocjacyjnej albo w postaci obiektu. W tabeli 12.5 opisano najczęściej wykorzystywane tryby pobierania danych wynikowych. Tryb pobierania danych wynikowych można ustawić bezpośrednio w wywołaniu metody PDOStatement::fetch() w następujący sposób: $result = $pdo_stmt->fetch(PDO::FETCH_OBJ);

Tryb pobierania danych wynikowych konkretnego polecenia można także ustawić przy użyciu metody setFetchMode(), a potem wykonać metodę fetch() już bez parametrów, jak na poniższym przykładzie: $pdo_stmt->setFetchMode(PDO::FETCH_INTO, $myObj); $pdo_stmt->fetch(); // kolumny wynikowe są właściwościami obiektu $myObj TABELA 12.5. Najczęściej używane tryby pobierania danych wynikowych w PDO

Tryb

Opis

PDO::FETCH_ASSOC

Zwraca tablicę asocjacyjną, której indeksami są nazwy kolumn. Jeżeli dwie kolumny będą mieć te same nazwy, wówczas zwrócona zostanie tylko jedna wartość. Pamiętaj, że wszystkie kolumny muszą mieć nazwy, dlatego w razie potrzeby używaj aliasów.

PDO::FETCH_BOTH

Zwraca łączoną tablicę zgodną z PDO::FETCH_ASSOC oraz PDO::FETCH_NUM. Jest to tryb domyślny.

PDO::FETCH_BOUND

Nie zwraca danych wynikowych, lecz przypisuje te dane zmiennym PHP wcześniej dowiązanym za pomocą funkcji PDOStatement::bindColumn($var).

PDO::FETCH_CLASS

Zwraca dane wynikowe w postaci właściwości nowej instancji obiektu nazwanej klasy. Tryb należy ustawić przy użyciu metody PDOStatement::setFetchMode(PDO::FETCH_CLASS, $classname, $constr_args_array). Argumenty dla konstruktora klasy mają charakter opcjonalny. Odpowiednikiem wspomnianej metody jest PDOStatement::fetchObject($classname, $constr_args_array).

PDO::FETCH_COLUMN

Zwraca pojedynczą kolumnę na podstawie dodatkowego argumentu. Tryb należy ustawić przy użyciu metody PDOStatement::setFetchMode(PDO::FETCH_COLUMN, $num). Jej odpowiednikiem jest metoda PDOStatement::fetchColumn($num).

PDO::FETCH_INTO

Zwraca dane wynikowe w postaci właściwości istniejącego obiektu. Tryb należy ustawić przy użyciu metody PDOStatement::setFetchMode(PDO::FETCH_INTO, $object).

PDO::FETCH_LAZY

Działa analogicznie do PDO::FETCH_OBJ, lecz w tym przypadku zwracana jest klasa PDORow, której właściwości są wypełniane dopiero przy odczycie. Tryb ten przydaje się szczególnie w przypadkach, gdy zbiór wyników składa się ze znacznej liczby kolumn.

PDO::FETCH_NAMED

Działa tak samo jak PDO::FETCH_ASSOC, lecz jeżeli dwie lub więcej kolumn ma tę samą nazwę, element tablicy zawiera wszystkie wartości tych kolumn.

PDO::FETCH_NUM

Zwraca indeks tablicy odpowiadający numerowi kolumny. Kolumny nie muszą posiadać nazw.

PDO::FETCH_OBJ

Zwraca dane wynikowe jako właściwości nowej instancji obiektu klasy stdClass. Odpowiednikiem tego podejścia jest metoda PDOStatement::fetchObject().

Jeżeli z góry wiesz, że będziesz przetwarzał wszystkie dane wynikowe i że zbiór danych wynikowych zmieści się w pamięci, możesz zamiast metody fetch() użyć metody PDOStatement::fetchAll(). W połączeniu z PDO::FETCH_COLUMN metoda będzie szczególnie przydatna, jeśli na podstawie

328 CZĘŚĆ II SQL Server

zawartości tabel bazy danych będziesz konstruował listy opcji do wyboru. Użycie znacznika PDO::FETCH_GROUP pozwoli na grupowanie wyników względem określonej kolumny. Na przykład aby uzyskać listę wszystkich języków, które obsługuje SQL Server, oraz ich identyfikatorów, możesz wykonać następujące instrukcje: $stmt = $dbh->query("SELECT msglangid, name FROM master.sys.syslanguages"); $res = $stmt->fetchAll(PDO::FETCH_COLUMN|PDO::FETCH_GROUP);

Wynikiem wykonania tych instrukcji będzie tablica podobna do przedstawionej poniżej (zwróconej przez metodę var_dump()): array(32) { [1033]=> array(2) { [0]=> [1]=> [1031]=> array(1) { [0]=> [1036]=> array(1) { [0]=> [1041]=> array(1) { [0]=> ... }

string(10) "us_english" string(7) "British" } string(7) "Deutsch" } string(9) "Français" } string(9) "日本語" }

Typy danych i strumienie W porównaniu z elastycznością, z jaką sterownik SQL Servera dla PHP pozwala kontrolować sposoby konwersji typów danych PHP i SQL Servera, sterownik PDO jest pod tym względem dość ograniczony. W tabeli 12.6 przedstawiono obsługiwane typy parametrów. Wszystkie te typy, które nie zostały uwzględnione w tabeli, są automatycznie traktowane jako ciągi znaków. Ważną konsekwencją tego podejścia (w porównaniu z SQL Serverem) jest fakt, że PDO traktuje datę i czas jako ciągi znaków. TABELA 12.6. Typy danych parametrów w PDO

Typ danych parametru

Opis

PDO::PARAM_BOOL

Typ danych Boolean.

PDO::PARAM_INT

Ogólny typ danych integer języka SQL.

PDO::PARAM_LOB

Typ danych Large Object, używany do strumieniowania.

PDO::PARAM_NULL

Typ danych NULL języka SQL.

PDO::PARAM_STR

Typy danych char(), nchar(), varchar() i nvarchar() języka SQL. Jest to typ zastępczy dla wszystkich innych typów.

W trakcie wiązania parametru metodą PDOStatement::bindParam() lub kolumny zbioru wynikowego metodą PDOStatement::bindColumn() możesz wskazać preferowany typ danych. Obydwie metody pozwalają też ustawiać format kodowania parametrów. W tabeli 12.7 znajdują się cztery obsługiwane wartości określające kodowanie parametrów. Sposób kodowania można także określić dla całego połączenia za pomocą metody PDO::setAttribute() albo dla konkretnego zapytania, do czego służy metoda PDOStatement::setAttribute(). Metoda PDO::prepare() przyjmuje z kolei parametr wskazujący sposób kodowania.

ROZDZIAŁ 12. PHP i SQL Server 329 TABELA 12.7. Typy kodowania w PDO

Typ kodowania

Opis

PDO::SQLSRV_ENCODING_BINARY

Brak kodowania, przetwarzany jest zwykły strumień danych.

PDO::SQLSRV_ENCODING_DEFAULT

Kodowanie połączenia lub jeśli typ ten został określony już w trakcie połączenia kodowanie systemowe.

PDO::SQLSRV_ENCODING_SYSTEM

Kodowanie 8-bitowe zgodne ze stroną kodową systemu Windows. W trakcie transmisji dane mogą być ponownie przekodowywane. Znaki, które nie należą do zakresu (na przykład znaki wielobajtowe), są zastępowane znakiem zapytania.

PDO::SQLSRV_ENCODING_UTF8

Kodowanie domyślne: wszystkie znaki są traktowane jako znaki UTF-8.

Kod z listingu 12.22 ilustruje sposób odczytywania obrazka z bazy danych i jego wyświetlania. Jest to zmieniona wersja kodu 12.15, w której tym razem wykorzystano PDO. Dla kolumny wynikowej wskazywany jest zarówno typ parametru, jak i sposób kodowania. W porównaniu ze sposobem, w jaki dane wynikowe przetwarza sterownik SQLSRV, występuje tu jedna istotna różnica: wartość jest zwracana nie jako strumień, lecz jako zwykły ciąg znaków. Dlatego właśnie na końcu skryptu zmienna wynikowa jest zwracana przez instrukcję echo. Co ciekawe, rzeczywisty sposób działania jest w tym przypadku odmienny, niż sugeruje dokumentacja PDO, według której zwracany jest także uchwyt strumienia. Zamieszanie powiększa dodatkowo fakt, że przetwarzanie jest wykonywane w kierunku odwrotnym, czyli gdy plik jest wysyłany do bazy danych, sterownik PDO oczekuje podania uchwytu strumienia pliku — dokładnie tak, jak opisano w dokumentacji PDO. LISTING 12.22. Wyświetlanie obrazka bezpośrednio z bazy danych z wykorzystaniem PDO setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // Zapytanie o zdjęcie produktu $query = 'SELECT ThumbNailPhoto FROM SalesLT.Product WHERE ProductID=:prodId'; $stmt = $dbh->prepare($query); $stmt->bindValue('prodId', $_GET['id'], PDO::PARAM_INT); $stmt->execute(); $stmt->bindColumn(1, $blob, PDO::PARAM_LOB, 0, PDO::SQLSRV_ENCODING_BINARY); $stmt->fetch(PDO::FETCH_BOUND); } catch(Exception $e) { die( print_r($e->getMessage()) ); } header('Content-type: image/gif'); echo $blob;

330 CZĘŚĆ II SQL Server

Podsumowanie Korzystanie z rozszerzenia SQL Server języka PHP jest dla programistów tego języka bardzo wygodne, ponieważ podstawowe funkcje odpowiedzialne za ustanawianie i wyznaczanie parametrów połączenia oraz wysyłanie poleceń języka T-SQL i odczytywanie danych wynikowych działają podobnie do analogicznych funkcji z innych rozszerzeń bazodanowych PHP. Możliwość tworzenia instancji odpowiedniej klasy do odczytania danych wynikowych ułatwia odwzorowywanie logiki aplikacji na obiekty PHP i strukturę bazy danych. Elastyczne mechanizmy kontroli typów danych, które mają być używane po stronie PHP i SQL Servera, bardzo pomagają w trakcie implementowania aplikacji. Z drugiej strony wykorzystanie sterownika SQL Servera dla PHP utrudnia, podobnie zresztą jak inne sterowniki do komunikacji z bazami danych, obsługę innych serwerów bazodanowych w późniejszym czasie. Począwszy od wersji 2.0, sterownik SQLSRV obsługuje obiekty PHP Data Objects (PDO), które zapewniają jednolity sposób dostępu nie tylko do SQL Servera, lecz także do innych baz danych. Implementacja sterownika PDO charakteryzuje się szczególnym zaawansowaniem i wydajnością, co wraz z możliwością wykonywania zapytań bezpośrednich w taki sam sposób jak zapytań predefiniowanych czyni ten sterownik najważniejszym narzędziem dla programistów aplikacji. Jeśli jednak będziesz musiał obsłużyć przypadki szczególne, na przykład będziesz chciał sprawować bardziej precyzyjną kontrolę nad komunikacją z bazą danych albo zwracać duże obiekty bazodanowe jako strumienie, powinieneś pozostać przy sterowniku natywnym. W następnym rozdziale opiszę niektóre bardziej zaawansowane funkcje SQL Servera, w tym wyszukiwanie pełnotekstowe, procedury składowane oraz wyzwalacze.

Rozdział 13.

Zaawansowane funkcje bazodanowe W tym rozdziale: Wyszukiwanie pełnotekstowe ..........................................................................................331 Transakcje .........................................................................................................................338 Procedury składowane .....................................................................................................343 Funkcje własne .................................................................................................................349 Wyzwalacze ......................................................................................................................351 Podsumowanie ..................................................................................................................353

W dzisiejszych czasach trudno sobie wyobrazić aplikację internetową, w której nie można by wykonywać przeszukiwania choćby w podstawowym zakresie. Oprócz elementów nawigacji użytkownicy oczekują możliwości korzystania z wyszukiwarki, aby móc szybko znajdować te treści, które najbardziej ich interesują. Wyszukiwanie pełnotekstowe wykonywane przez Microsoft SQL Server to narzędzie przeznaczone do przeszukiwania danych przechowywanych w bazie danych. SQL Server nadaje się również doskonale jako serwer baz danych w różnych językach, ponieważ obsługuje ich aż 50. W rozdziale opiszę także transakcje oraz sposoby programowania baz danych przy użyciu procedur składowanych, własnych funkcji oraz wyzwalaczy. Przeniesienie logiki aplikacji PHP do bazy danych nie tylko zwiększy wydajność działania tej aplikacji i poziom bezpieczeństwa, ale również podniesie jakość całego rozwiązania i dokładność danych.

Wyszukiwanie pełnotekstowe Tekst można wyszukiwać za pomocą funkcji wyszukiwania pełnotekstowego SQL Servera. Indeks pełnotekstowy to struktura danych, która została zoptymalizowana pod kątem wykonywania zapytań tekstowych o konkretne słowa w sposób szybki i jak najbardziej wydajny. Aby skorzystać z wyszukiwania pełnotekstowego, wykonaj następujące czynności:

332 CZĘŚĆ II SQL Server 1. Utwórz katalog pełnotekstowy. Katalog to struktura, w której tworzy się indeksy

pełnotekstowe. 2. W katalogu pełnotekstowym utwórz pełnotekstowy indeks. Indeks tworzy się dla

konkretnych kolumn tabeli. 3. Przeszukaj indeks pełnotekstowy. SQL Server pozwala przeszukiwać indeks czterema

różnymi metodami. W kolejnych punktach opiszę, jak czynności te wykonuje się w SSMS oraz przy użyciu poleceń języka T-SQL.

Instalowanie modułu Jeżeli SQL Server, którego używasz, nie zawiera modułu wyszukiwania pełnotekstowego, wykonaj następujące czynności, aby ten moduł zainstalować: 1. Uruchom program instalacyjny SQL Servera z nośnika instalacyjnego. 2. Wybierz opcję Installation/New SQL Server Stand-Alone Installation. OSTRZEŻENIE Zanim wykonasz kolejne opisane czynności, musisz zainstalować pomocnicze pliki instalacyjne.

3. Jako typ instalacji wskaż Add Features To An Existing Instance Of SQL Server 2008 R2,

a następnie naciśnij przycisk Next. 4. W sekcji Instance Features, pod pozycją Database Engine Services, zaznacz pole opcji

Full-Text Search i naciśnij przycisk Next. Potem w oknie dialogowym Ready To Install naciśnij Install. 5. Gdy instalacja zostanie zakończona, naciśnij przycisk Close, aby zakończyć pracę instalatora.

Moduł wyszukiwania pełnotekstowego będzie już zainstalowany. Być może konieczne będzie jeszcze ponowne uruchomienie SQL Servera.

Wybór języka Funkcja wyszukiwania pełnotekstowego w SQL Serverze 2008 R2 obsługuje około 50 języków. Wybór języka wpływa na sposób rozpoznawania granic słów, samych słów, ich rdzeni, a także słów przestankowych i tezaurusa (jeśli ma zastosowanie). Dlatego przy okazji tworzenia indeksu pełnotekstowego niezwykle ważne jest to, aby wybrać odpowiedni język indeksu. Listę wszystkich obsługiwanych języków można odczytać z tabeli systemowej sys.fulltext_languages: select * from sys.fulltext_languages;

ROZDZIAŁ 13. Zaawansowane funkcje bazodanowe 333

Jeśli nie wskażesz języka, SQL Server zastosuje ustawienie domyślne. Można je uzyskać po wykonaniu następującego zapytania: SELECT sc.value_in_use, fl.name FROM sys.configurations AS sc JOIN sys.fulltext_languages AS fl ON sc.value=fl.lcid WHERE sc.name=N'default full-text language';

Tworzenie katalogu i indeksu w SSMS W tym punkcie opiszę, w jaki sposób w SSMS tworzy się katalog i indeks przeznaczony do wyszukiwania pełnotekstowego. Tworzenie katalogu Aby utworzyć katalog pełnotekstowy, wykonaj następujące czynności: 1. W przeglądarce obiektów rozwiń pozycję Storage i prawym przyciskiem myszy kliknij pozycję

Full Text Catalogs. Następnie w menu podręcznym wybierz polecenie New Full-Text Catalog. 2. W polu tekstowym wpisz nazwę katalogu pełnotekstowego i, opcjonalnie, wskaż właściciela

katalogu. 3. Zaznacz sposób uwzględniania akcentów zależnie od wymagań tworzonego rozwiązania. 4. Naciśnij przycisk OK, aby zatwierdzić zdefiniowane ustawienia.

Tworzenie indeksu Aby utworzyć w SSMS pełnotekstowy indeks, wykonaj następujące czynności: 1. W przeglądarce obiektów kliknij prawym przyciskiem myszy wybraną tabelę. W wyświetlonym

menu podręcznym wybierz polecenie Full-Text Index i naciśnij Define Full-Text Index. Otwarty zostanie kreator Full-Text Indexing Wizard. 2. Na drugim ekranie kreatora wybierz indeks, na podstawie którego wyniki wyszukiwania

pełnotekstowego mają być odwzorowywane na odpowiednie wiersze tabeli. Zalecaną praktyką jest wybieranie do tego celu klucza głównego tabeli. Naciśnij Next, aby zatwierdzić swój wybór. 3. Na ekranie Select Table Columns wybierz kolumny dla indeksu pełnotekstowego.

Dla każdej kolumny wskaż język, na podstawie którego zapytania mają być przygotowywane do wyszukiwania (Language For Word Breaker). Z kolei dla kolumn typu binary i varbinary() wybierz Type Column — jest to konieczne, aby SQL Server był w stanie rozpoznać typ danych kolumny. 4. Na ekranie Change Tracking możesz wskazać, czy wprowadzane w tabeli zmiany mają być

propagowane do indeksu pełnotekstowego ręcznie, czy automatycznie. Jeżeli nie ma ku temu istotnych przeciwwskazań, najlepiej jest włączyć automatyczne propagowanie zmian.

334 CZĘŚĆ II SQL Server 5. Przypisz indeksowi katalog pełnotekstowy albo utwórz nowy katalog, a także wskaż listę

słów, które należy pominąć w indeksie. W przypadku większych indeksów na ekranie Population Schedules możesz wskazać godziny, w których indeks ma być wypełniany. 6. Zweryfikuj zdefiniowane ustawienia i naciśnij Finish, aby utworzyć indeks.

Tworzenie katalogu i indeksu przy użyciu języka T-SQL W tym punkcie pokażę, jak tworzy się katalog i indeks poleceniami języka T-SQL. Tworzenie katalogu Aby utworzyć katalog pełnotekstowy, wykonaj polecenie CREATE FULLTEXT CATALOG: CREATE FULLTEXT CATALOG nazwa_katalogu [ WITH ACCENT_SENSITIVITY = {ON|OFF} ] [ AS DEFAULT ] [ AUTHORIZATION nazwa_właściciela ]

Opcja ACCENT_SENSITIVITY wskazuje, czy w katalogu mają być uwzględniane litery z akcentami, czy tylko litery w podstawowej postaci. Katalog pełnotekstowy grupuje indeksy, lecz nie zajmuje miejsca na dysku. Na przykład aby utworzyć katalog pełnotekstowy dla bazy danych AdventureWorksLT2008, wykonaj następujące polecenie: USE AdventureWorksLT2008 CREATE FULLTEXT CATALOG FT_Products GO

Tworzenie indeksu Gdy utworzysz katalog, wykonaj polecenie CREATE FULLTEXT INDEX, aby utworzyć w tym katalogu indeks pełnotekstowy: CREATE FULLTEXT INDEX ON nazwa_tabeli [ ( { nazwa_kolumny [ TYPE COLUMN nazwa_kolumny ] [ LANGUAGE język ] } [ ,...n] ) ] KEY INDEX nazwa_indeksu [ ON ] [ WITH [ ( ] [ ,...n] [ ) ] ] [;] ::= { CHANGE_TRACKING [ = ] { MANUAL | AUTO | OFF [, NO POPULATION ] } | STOPLIST [ = ] { OFF | SYSTEM | nazwa_listy_słów_pomijanych } }

Dla każdej tabeli może istnieć tylko jeden indeks pełnotekstowy, lecz dany indeks może zawierać więcej niż jedną kolumnę. W skład indeksu pełnotekstowego musi wchodzić indeks unikatowy (KEY INDEX), aby można było odwzorowywać wyniki wyszukiwania pełnotekstowego na wiersze tabeli. Oprócz katalogu pełnotekstowego za pomocą słowa kluczowego ON można wskazać grupę plików, o ile indeks pełnotekstowy ma być przechowywany w innej lokalizacji. Opcja CHANGE_TRACKING wskazuje, w jaki sposób zmiany w tabeli mają być uwzględniane w indeksie pełnotekstowym.

ROZDZIAŁ 13. Zaawansowane funkcje bazodanowe 335

Aby utworzyć indeks pełnotekstowy dla kolumny Description tabeli SalesLT.ProductDescription, wykonaj następujące polecenie: CREATE FULLTEXT INDEX ON SalesLT.ProductDescription ( Description LANGUAGE 0 ) KEY INDEX PK_ProductDescription_ProductDescriptionID ON FT_Products WITH CHANGE_TRACKING AUTO, STOPLIST SYSTEM GO

W poleceniu tym jako język wskazano LANGUAGE 0 (język neutralny), ponieważ opisy przechowywane w tabeli są zapisywane w różnych językach. Na przykład identyfikatorem języka (LCID) niemieckiego jest 1031, angielski Wielkiej Brytanii to 2057, zaś angielski amerykański oznaczany jest jako 1033.

Wyszukiwanie z indeksem pełnotekstowym SQL Server udostępnia dwie metody wyszukiwania z indeksem pełnotekstowym: wyszukiwanie dokładne z operatorami i wagami (CONTAINS) oraz wyszukiwanie w tekście (FREETEXT). Metodę wyszukiwania wskazuje się w klauzuli WHERE (CONTAINS/FREETEXT), a wynik może być zwracany w postaci tabeli tymczasowej dla złączenia JOIN (CONTAINSTABLE/FREETEXTTABLE). Wyszukiwanie dokładne (CONTAINST/CONTAINSTABLE) W wyszukiwaniu dokładnym słowa są wyszukiwane dokładnie w takiej postaci, w jakiej występują w zapytaniu. Listing 13.1 przedstawia sposób wyszukiwania słowa „aerodynamic” w opisie produktów. Wyszukiwanie tą metodą powoduje, że zwrócone zostaną tylko te rekordy, które zawierają dokładnie to słowo, które wskazano w zapytaniu. LISTING 13.1. Pełnotekstowe wyszukiwanie słowa „aerodynamic” z użyciem CONTAINS SELECT ProductDescriptionID, Description FROM SalesLT.ProductDescription WHERE CONTAINS(Description, N'lightweight') GO ProductDescriptionID Description -------------------- ------------------------------------------------------------375 Cross-train, race, or just socialize on a sleek, aerodynamic bike. Advanced seat technology provides comfort all day. 376 Cross-train, race, or just socialize on a sleek, aerodynamic bike designed for a woman. Advanced seat technology provides comfort all day.

Wyniki zwrócone przez CONTAINSTABLE() można wykorzystać tak, jakby była to tabela tymczasowa. Jak widać na listingu 13.2, tabela ta zawiera dwie kolumny. W pierwszej kolumnie znajduje się wartość klucza, na podstawie którego w tabeli można znaleźć odpowiedni wiersz (w tym przypadku jest to SalesLT.ProductDescription), oraz względny priorytet, na podstawie którego można posortować listę wyników.

336 CZĘŚĆ II SQL Server LISTING 13.2. Wyniki wyszukiwania z użyciem CONSTAINSTABLE SELECT * FROM CONTAINSTABLE (SalesLT.ProductDescription, Description, N'road') GO KEY RANK ---- ---8 32 64 32 170 48 ... (13 rows affected)

Kod z listingu 13.3 ilustruje sposób, w jaki sortuje się wyniki wyszukiwania z klauzulą CONTAINSTABLE. Tabela tymczasowa z wynikami wyszukiwania zostaje połączona z innymi tabelami złączeniem JOIN. Na tym przykładzie wyraźnie widać, do czego w tabeli z wynikami wyszukiwania z indeksem pełnotekstowym potrzebny jest indeks klucza. LISTING 13.3. Wyszukiwanie pełnotekstowe słowa „road” z CONTAINSTABLE SELECT p.ProductID, p.Name, pd.Description FROM SalesLT.Product AS p JOIN SalesLT.ProductModelProductDescription AS pmpd ON pmpd.ProductModelID = p.ProductModelID JOIN SalesLT.ProductDescription AS pd ON pd.ProductDescriptionID = pmpd.ProductDescriptionID JOIN CONTAINSTABLE (SalesLT.ProductDescription, Description, N'road') AS ft ON ft.[KEY] = pd.ProductDescriptionID WHERE pmpd.Culture = N'en' ORDER BY ft.[RANK] DESC GO ProductID Name --------- ---------------------808 LL Mountain Handlebars 818 LL Road Front Wheel 803 ML Fork ... (25 rows affected)

Description ---------------------------------------------------All-purpose bar for on or off-road Replacement road front wheel for entry-level cyclist Composite road fork with an aluminum steerer tube

Klauzule CONTAINS i CONTAINSTABLE nie wyszukują tylko pojedynczych słów. W tabeli 13.1 opisano rodzaje wyrażeń, które można wyszukiwać. Wyszukiwanie w tekście (FREETEXT/FREETEXTTABLE) W przypadku wyszukiwania w tekście poszukiwaną frazę wskazuje się w klauzuli FREETEXT. Klauzula FREETEXT wyszukuje pozycje zgodne z poszukiwanym wyrażeniem w indeksie pełnotekstowym. W trakcie wyszukiwania pod uwagę brane są różne formy poszukiwanych wyrażeń i wykorzystuje się tezaurusa, a frazy są automatycznie ważone.

ROZDZIAŁ 13. Zaawansowane funkcje bazodanowe 337 TABELA 13.1. Rodzaje wyrażeń, które można wyszukiwać przy użyciu klauzuli CONTAINS

Wyrażenie

Opis

słowo

Wyszukuje podane słowo.

"fraza tekstowa"

Wyszukuje w tekście frazę dokładnie w takiej samej postaci i kolejności.

sło* / "fraza tek*"

Symbol zastępczy * powoduje, że wyszukane zostaną słowa (lub frazy) rozpoczynające się podanymi literami.

fraza1 AND fraza2 fraza1 AND NOT fraza2 fraza1 OR fraza2

Operatory logiczne łączą ze sobą poszukiwane wyrażenia.

FORMSOF(INFLECTIONAL, słowo) FORMSOF(THESAURUS, słowo)

Wyszukuje słowo w różnych formach (na przykład w liczbie mnogiej) lub słowa pokrewne. Wskazówka. W tego typu operacjach wyszukiwania należy pamiętać o indeksie języka oraz zwrócić uwagę, czy dostępny jest tezaurus.

słowo1 NEAR słowo2 słowo1 ~ słowo2

Wyszukuje słowa, które występują w tekście blisko siebie, a niekoniecznie ze sobą sąsiadują.

ISABOUT (fraza1 WEIGHT(n) fraza2 WEIGHT(m))

Wyszukiwanie podanych wyrażeń z uwzględnieniem wag.

Na listingu 13.4 znajduje się przykład, w którym szuka się tekstu „entry level mountain bike” i zwracanych jest pięć najlepszych wyników. LISTING 13.4. Wyszukiwanie pełnotekstowe z użyciem FREETEXTTABLE SELECT pd.ProductDescriptionID, pd.Description FROM SalesLT.ProductDescription AS pd JOIN FREETEXTTABLE(SalesLT.ProductDescription, Description, N'entry level mountain bike', 5) AS ft ON ft.[KEY] = pd.ProductDescriptionID GO ProductDescriptionID -------------------686 867 1981 689 703 (5 rows affected)

Description -----------------------------------------------------Replacement mountain wheel for entry-level rider. Replacement rear mountain wheel for entry-level rider. Replacement mountain wheel for entry-level rider. Replacement road front wheel for entry-level cyclist. Unique shape reduces fatigue for entry level riders.

WSKAZÓWKA Czwarty parametr klauzuli CONTAINSTABLE/FREETEXTTABLE wskazuje, ile wyników wyszukiwania ma zostać ostatecznie zwróconych. Jeżeli parametr ten zostanie podany, wyniki zostaną automatycznie posortowane względem stopnia ich dopasowania. Kod z listingu 13.4 zwraca pięć najlepszych wyników.

338 CZĘŚĆ II SQL Server

Transakcje Ważną cechą systemów relacyjnych baz danych jest to, że operacje wykonywane na tych bazach mają charakter atomowy i są izolowane od siebie, to znaczy nie wpływają na siebie nawzajem. Takie niezależne operacje są zwane transakcjami. SQL Server także obsługuje transakcje. Domyślnie każde polecenie języka T-SQL stanowi oddzielną transakcję (w trybie automatycznego zatwierdzania).

Transakcje języka T-SQL W jednej transakcji można łączyć ze sobą więcej niż jedno polecenie języka T-SQL. Do tego celu dostępne są następujące polecenia T-SQL: „

BEGIN TRANSACTION — rozpoczyna transakcję.

„

COMMIT TRANSACTION — kończy transakcję i zapisuje zmiany w bazie danych.

„

ROLLBACK TRANSACTION — kończy transakcję i wycofuje wszystkie zmiany.

„

SAVE TRANSACTION — zapisuje aktualny stan transakcji. Kolejne polecenia wycofania transakcji spowodują wycofanie wszystkich zmian dokonanych po wykonaniu tego polecenia.

Transakcjom można nadawać nazwy oraz je zagnieżdżać. W przypadku zagnieżdżonych transakcji polecenie ROLLBACK wycofa wszystkie transakcje. Nie ma możliwości, aby wycofać tylko transakcję wewnętrzną. Listing 13.5 ilustruje działanie transakcji, które opierają się na tabeli tymczasowej (jeżeli nazwa tabeli zaczyna się od znaku #, wówczas tabela taka jest automatycznie traktowana jako tymczasowa). Polecenie SELECT z przykładu zwróci wartości 1, 2, 3 i 6, ponieważ wartości 4, 5 i 7 zostają wcześniej wycofane. LISTING 13.5. Transakcje języka T-SQL, które opierają się na tabeli tymczasowej CREATE TABLE #testTable (number int); GO BEGIN TRANSACTION; INSERT INTO #testTable VALUES (1); BEGIN TRANSACTION T_Two; INSERT INTO #testTable VALUES (2); COMMIT TRANSACTION T Two; INSERT INTO #testTable VALUES (3); SAVE TRANSACTION Protection_point; INSERT INTO #testTable VALUES (4); INSERT INTO #testTable VALUES (5); ROLLBACK TRAN Protection_point; INSERT INTO #testTable VALUES (6); COMMIT TRANSACTION; BEGIN TRAN INSERT INTO #testTable VALUES (7); ROLLBACK TRAN; SELECT * FROM #testTable; GO DROP TABLE #testTable; GO

-- Utworzenie tabeli tymczasowej -- Rozpoczęcie pierwszej transakcji -- Rozpoczęcie drugiej, zagnieżdżonej transakcji -- Transkacja T Two wciąż może zostać wycofana -- razem z pierwszą transakcją -- Ustawienie punktu bezpieczeństwa

-- Wycofanie aż do punktu bezpieczeństwa -- Zakończenie pierwszej transakcji -- Rozpoczęcie trzeciej transakcji -- Wycofanie trzeciej transakcji -- Zwraca wartości 1, 2, 3, 6

ROZDZIAŁ 13. Zaawansowane funkcje bazodanowe 339

Poziomy izolacji transakcji Transakcje zapewniają atomowość poleceń wykonywanych w ramach danej transakcji (dzięki której wprowadzane są wszystkie zmiany albo żadna), a także separują te zmiany od innych, współbieżnych użytkowników (realizują zatem element „I” w modelu ACID). Ceną za zapewnienie izolacji jest to, że inni użytkownicy mogą mieć ograniczone możliwości wykonywania niektórych czynności do czasu, aż bieżąca transakcja dobiegnie końca. Bez zastosowania izolacji transakcje realizowane równolegle mogłyby spowodować wystąpienie jednego lub kilku następujących przypadków: „

Brudny odczyt (ang. dirty read) — w ramach transakcji mogą zostać odczytane dane zapisane przez inną transakcję, która jeszcze nie została zakończona. Jeśli zmiany dokonane w drugiej transakcji zostaną wycofane, wówczas dane odczytane w pierwszej transakcji okażą się nieaktualne.

„

Niepowtarzalny odczyt (ang. non-repeatable read) — jeżeli w ramach transakcji te same dane zostaną odczytane dwukrotnie, inna transakcja może te dane zmienić w czasie między pierwszym i drugim odczytem. W konsekwencji pobranie tych samych danych spowoduje uzyskanie różnych wyników.

„

Odczyt fantomowy (ang. phantom read) — odczyty fantomowe są podobne do odczytów niepowtarzalnych i występują w sytuacji, gdy inna transakcja wstawia lub usuwa rekordy danych. Jeżeli wstawienie lub usunięcie zostanie wykonane między dwoma odczytami tych samych danych, wówczas będziemy mieli do czynienia z tak zwanymi rekordami fantomowymi, które pojawiają się i znikają.

„

Utrata zmian (ang. lost update) — do utraty zmian dochodzi wówczas, gdy dwie współbieżne i niezależne od siebie transakcje jedna po drugiej zmieniają ten sam rekord danych. W takiej sytuacji zmiany wprowadzone w ramach pierwszej transakcji mogą zostać utracone.

SQL Server zapewnia pięć poziomów izolacji, z których każdy posiada inne wady i zalety. Poziom izolacji transakcji należy dobrać tak, aby w jak największym zakresie spełnione zostały potrzeby tworzonej aplikacji: „

READ UNCOMMITTED — na tym poziomie transakcje nie są od siebie izolowane, przez co

wystąpić może każdy z wcześniej wspomnianych problemów. Poziom ten zapewnia najkrótszy czas wykonywania transakcji, ponieważ nie blokują się one wzajemnie ani nie dochodzi do konfliktów. „

READ COMMITTED — domyślny poziom izolacji. Na tym poziomie zapobiega się brudnym

odczytom danych, które nie zostały zatwierdzone, mogą się natomiast zdarzyć odczyty fantomowe oraz odczyty niepowtarzalne, ponieważ transakcje zakończone mogą w tym przypadku zmienić dane między dwiema operacjami odczytu. „

REPEATABLE READ — jak sugeruje nazwa, na tym poziomie izolacji zapewniona jest powtarzalność odczytów. Oprócz ograniczeń, jakie wiążą się z zastosowaniem poziomu READ COMMITTED, poziom REPEATABLE READ uniemożliwia innym transakcjom wprowadzanie zmian do danych

odczytanych przez transakcję bieżącą, jeżeli nie dobiegła ona jeszcze końca. Dla zapewnienia

340 CZĘŚĆ II SQL Server

tego poziomu izolacji SQL Server zakłada tak zwane współużytkowane blokady. Jeżeli w aplikacji wykonywanych jest wiele transakcji, poziom REPEATABLE READ może odbić się na wydajności jej działania. Nadal mogą występować w tym przypadku odczyty fantomowe, ponieważ nowe rekordy wstawione przez inne transakcje nie podlegają zakładanym blokadom. „

SNAPSHOT — ten poziom izolacji zapobiega wystąpieniu wszystkich czterech wspomnianych

problemów, ponieważ SQL Server tworzy migawkę wszystkich danych, na których operuje transakcja. Dzięki temu każde polecenie przetwarza ten sam spójny zbiór danych, niezmienny przez cały czas trwania transakcji i niedostępny dla innych transakcji. Aby zapewnić taki poziom izolacji, SQL Server wykonuje wersjonowanie wierszy. Poziom SNAPSHOT wymaga znacznej ilości zasobów, dlatego wydajność działania transakcji z tym poziomem izolacji jest niższa niż w przypadku dwóch pierwszych poziomów. Z drugiej strony jednak SQL Server nie zakłada blokad, dzięki czemu nie ma ryzyka wystąpienia konfliktów. Transakcja na poziomie SNAPSHOT może się nie powieść, jeśli w trakcie jej wykonywania te same dane zostaną zmienione w ramach innej transakcji. Opisane podejście jest czasami nazywane optymistyczną kontrolą współbieżności (ang. optimistic concurrency control). „

SERIALIZABLE — poziom ten również zabezpiecza przed wystąpieniem każdego z opisanych

czterech problemów, lecz do zabezpieczenia się przed odczytami fantomowymi na tym poziomie wykorzystywane są blokady zakresów (patrz również uwaga poniżej). Współbieżność jest w tym przypadku kontrolowana w trybie pesymistycznym. Blokady zakresów mogą objąć znaczne zbiory rekordów, dlatego zależnie od okoliczności ten poziom izolacji może zdecydowanie obniżyć wydajność działania bazy danych i spowodować konflikty blokad, a nawet doprowadzić do zakleszczeń. UWAGA Craig Freedman opisał na swoim blogu poświęconym SQL Serverowi różnice między poziomami izolacji SNAPSHOT i SERIALIZABLE. Artykuł można znaleźć na stronie pod adresem http://blogs.msdn.com/b/craigfr/archive/2007/05/16/serializable-vs-snapshot-isolation-level.aspx.

Poziom izolacji transakcji ustawia się następującym poleceniem T-SQL: SET TRANSACTION ISOLATION LEVEL ( poziom izolacji ) [ ; ]

Poziom izolacji transakcji należy ustawić przed rozpoczęciem transakcji. Poziom ten można zmienić, choć z pewnymi ograniczeniami, w trakcie wykonywania transakcji. Więcej szczegółowych informacji na temat poszczególnych poziomów izolacji można znaleźć w dokumentacji MSDN, na stronie pod adresem http://msdn.microsoft.com/en-us/library/ms173763.aspx.

Transakcje PHP Transakcji języka T-SQL powinno się używać wyłącznie w odniesieniu do procedur składowanych. W PHP lepiej jest używać funkcji rozszerzenia SQL Server dla PHP, ponieważ rozszerzenie to musi znać stan transakcji, aby zapewnić prawidłowe działanie aplikacji. Rozszerzenie udostępnia następujące funkcje:

ROZDZIAŁ 13. Zaawansowane funkcje bazodanowe 341 „

sqlsrv_begin_transaction() — rozpoczyna transakcję.

„

sqlsrv_commit() — kończy transakcję i zapisuje zmiany.

„

sqlsrv_rollback() — kończy transakcję i wycofuje zmiany.

Nie istnieje natomiast funkcja, który stanowi odpowiednik instrukcji SAVE TRANSACTION, ponieważ transakcji PHP nie można zagnieżdżać. Listing 13.6 prezentuje kod, w którym widać efekt działania transakcji. Zwraca on tylko wartości 1, 2 i 5, ponieważ wartości 3 i 4 są wstawiane do tabeli w ramach transakcji, która zostaje potem wycofana. LISTING 13.6. Transakcje PHP, które opierają się na tabeli tymczasowej sqlsrv_query($db, "CREATE TABLE #testTable (number int);"); sqlsrv_begin_transaction($db); sqlsrv_query($db, "INSERT INTO #testTable VALUES (1);"); sqlsrv query($db, "INSERT INTO #testTable VALUES (2);"); sqlsrv_commit($db); sqlsrv_begin_transaction($db); sqlsrv query($db, "INSERT INTO #testTable VALUES (3);"); sqlsrv_query($db, "INSERT INTO #testTable VALUES (4);"); sqlsrv_rollback($db); sqlsrv_query($db, "INSERT INTO #testTable VALUES (5);"); $stmt = sqlsrv_query($db, "SELECT * FROM #testTable;"); while ($o = sqlsrv fetch object($stmt)) { echo $o->number, '
'; } sqlsrv_free_stmt($stmt);

Poziom izolacji transakcji wskazuje się atrybutem TransactionIsolation połączenia z SQL Serverem. Atrybutowi należy przypisać jedną z poniższych stałych, których nazwy jednoznacznie wskazują ustawiany poziom izolacji: „

SQLSRV_TXN_READ_UNCOMMITTED

„

SQLSRV_TXN_READ_COMMITTED

„

SQLSRV_TXN_REPEATABLE_READ

„

SQLSRV_TXN_SNAPSHOT

„

SQLSRV_TXN_SERIALIZABLE

Poniżej znajduje się przykład polecenia, które ustawia poziom izolacji transakcji REPEATABLE READ: $connectionInfo = array( 'Database' => 'AdventureWorksLT2008', 'CharacterSet' => 'UTF-8', 'TransactionIsolation' => SQLSRV_TXN_REPEATABLE_READ ); $dbh = sqlsrv_connect('(local)', $connectionInfo);

342 CZĘŚĆ II SQL Server

Transakcje i obiekty danych PHP (PDO) Gdy będziesz używać obiektów danych PHP (PDO), będziesz mógł skorzystać z następujących funkcji obsługi transakcji SQL: „

PDO::beginTransaction() — rozpoczyna transakcję.

„

PDO::commit() — kończy transakcję i zapisuje zmiany.

„

PDO::rollBack() — kończy transakcję i wycofuje zmiany.

Listing 13.7 prezentuje sposób wykorzystania transakcji PDO w implementowanych aplikacjach. Również w tym przypadku zwracane są tylko wartości 1, 2 i 5, ponieważ — podobnie jak w kodzie z listingu 13.6 — pozostałe wartości są wycofywane. LISTING 13.7. Transakcje PHP z wykorzystaniem PDO try { $dbh->exec("CREATE TABLE #testTable (number int);"); $dbh->beginTransaction(); $dbh->exec("INSERT INTO #testTable VALUES (1);"); $dbh->exec("INSERT INTO #testTable VALUES (2);"); $dbh->commit(); $dbh->beginTransaction(); $dbh->exec("INSERT INTO #testTable VALUES (3);"); $dbh->exec("INSERT INTO #testTable VALUES (4);"); $dbh->rollBack(); $dbh->exec("INSERT INTO #testTable VALUES (5);"); foreach ($dbh->query("SELECT * FROM #testTable;") AS $row) { echo $row['number'], '
'; } $dbh = null; } catch (Exception $e) { echo "Błąd: " . $e->getMessage(); }

Poziom izolacji transakcji wskazuje się przez dodanie do ciągu połączenia słowa kluczowego TransactionIsolation. Atrybutowi temu przypisuje się te same stałe co w sterowniku natywnym. Tym razem jednak są to stałe klasy PDO, stąd ich nazwy zaczynają się od PDO::SQLSRV_TXN_*: $dbh = new PDO('sqlsrv:server=(local); Database=AdventureWorksLT2008;' . 'TransactionIsolation=' . PDO::SQLSRV_TXN_READ_UNCOMMITTED, "", "");

Zarówno rozszerzenie sqlsrv do obsługi SQL Servera w PHP, jak i PDO automatycznie wycofują wszystkie otwarte transakcje, gdy skrypt dobiegnie końca. Dzięki temu zyskuje się gwarancję, że nawet w przypadku niespodziewanego zakończenia wykonywania skryptu PHP baza pozostanie w spójnym stanie. Warto podkreślić, że tak naprawdę sam powinieneś zapewnić zakończenie działania polecenia rozpoczęcia transakcji, ponieważ w przeciwnym razie SQL Server pozostanie w trybie automatycznego zakończenia transakcji.

ROZDZIAŁ 13. Zaawansowane funkcje bazodanowe 343

Procedury składowane Procedury składowane pełnią rolę programów dla SQL Servera, napisanych przy użyciu poleceń języka T-SQL. Polecenia języka T-SQL odpowiadają wówczas programowi wsadowemu T-SQL, w którym mogą być przetwarzane zmienne wejściowe i wyjściowe. Procedury składowane doskonale się nadają do optymalizacji wydajności działania baz danych, ułatwiają administrowanie bazami oraz zwiększają ich bezpieczeństwo. W kolejnych punktach opiszę zmienne, struktury kontrolne oraz procedury. W odróżnieniu od własnych funkcji procedury składowane mogą zarówno zmieniać dane przechowywane w tabelach, jak i samą strukturę bazy danych. W rozdziale 14. „Użytkownicy i uprawnienia” bardziej szczegółowo opiszę uprawnienia właśnie w kontekście procedur składowanych.

Zmienne W języku T-SQL zmienne definiuje się za pomocą słowa kluczowego DECLARE, zaś ustawia się i zmienia ich wartości instrukcją SET. Przykłady użycia obydwóch instrukcji znajdują się w kodzie na listingu 13.8. LISTING 13.8. Deklarowanie i obliczanie wartości zmiennych DECLARE @a int = 3; DECLARE @b int; SET @b = @a + 2; PRINT @b; PRINT 'A:' + CAST(@a AS varchar) + ', B:' + CAST(@b AS varchar); GO 5 A:3, B:5

UWAGA W drugiej instrukcji PRINT instrukcje CAST są niezbędne, ponieważ operator plus dodaje do siebie zarówno ciągi znaków, jak i liczby, a dodawanie liczb ma pierwszeństwo.

Zmienne mogą występować wyłącznie w funkcji, procedurze lub programie wsadowym w języku T-SQL. Wykonanie poniższego kodu zakończy się błędem, ponieważ instrukcja PRINT znajduje się już poza programem wsadowym: DECLARE @a int = 3; GO PRINT @a;

Dozwolonymi typami danych dla zmiennych są wszystkie typy, które można przypisać kolumnie w tabeli (więcej na ten temat w rozdziale 10. „Bazy danych i tabele”), z wyjątkiem typów varchar(max), nvarchar(max) oraz varbinary(max). Zmienne same w sobie mogą zawierać tabele, co widać na listingu 13.9.

344 CZĘŚĆ II SQL Server LISTING 13.9. Definiowanie zmiennej, która przechowuje tabelę DECLARE @friends TABLE (name nvarchar(30)); INSERT INTO @friends VALUES (N'Dorota'), (N'Daniel'), (N'Julia'); SELECT name FROM @friends; GO name ---Dorota Daniel Julia

Definiowanie procedur Aby zdefiniować procedurę składowaną, wykonaj polecenie CREATE PROCEDURE (lub w formie skróconej CREATE PROC). Na listingu 13.10 znajduje się definicja przykładowej procedury, a zaraz potem objaśniam kolejne kroki wykonywane w kodzie. Procedura jest tworzona w bazie danych AdventureWorksLT. LISTING 13.10. Definiowanie procedury składowanej IF OBJECT_ID('SalesLT.getProducts', N'P') IS NOT NULL DROP PROC SalesLT.getProducts; GO CREATE PROC SalesLT.getProducts @category nvarchar(50), @color nvarchar(15) = N'Blue' AS SELECT p.ProductId, p.Name FROM SalesLT.Product AS p JOIN SalesLT.ProductCategory AS pc ON p.ProductCategoryID = pc.ProductCategoryID WHERE p.Color=@color AND pc.Name=@category; GO

Przedstawiony przykładowy kod składa się z trzech części. Funkcja OBJECT_ID() sprawdza, czy procedura już istnieje. Jeżeli tak, zostaje ona usunięta poleceniem DROP PROCEDURE. IF OBJECT_ID('SalesLT.getProducts', N'P') IS NOT NULL DROP PROC SalesLT.getProducts; GO

W kolejnej części definiowana jest sama procedura oraz jej parametry. Procedura należy do schematu SalesLT, jej nazwa to getProducts i przyjmuje ona dwa parametry: @category oraz @color. Parametr @color ma wartość domyślną (N'Blue') i nie trzeba go podawać przy wywoływaniu procedury. CREATE PROC SalesLT.getProducts @category nvarchar(50), @color nvarchar(15) = N'Blue'

ROZDZIAŁ 13. Zaawansowane funkcje bazodanowe 345

Trzecia część kodu to ciało procedury, którego początek sygnalizuje słowo kluczowe AS. Ciało procedury zawiera polecenia języka T-SQL, które mają być wykonywane w przypadku wywołania procedury. Procedurę składowaną można traktować jak program wsadowy T-SQL, który przyjmuje parametry i, opcjonalnie, zwraca wyniki. Przykładowy program wsadowy zawiera jedno polecenie SELECT, w którego klauzuli WHERE uwzględniane są parametry przekazane do procedury: AS SELECT p.ProductId, p.Name FROM SalesLT.Product AS p JOIN SalesLT.ProductCategory AS pc ON p.ProductCategoryID = pc.ProductCategoryID WHERE p.Color=@color AND pc.Name=@category; GO

Wywoływanie procedur Procedury składowane wywołuje się poleceniem EXECUTE (lub w skrócie EXEC), a w momencie ich wywołania przekazuje się od razu parametry w sposób przedstawiony na przykładzie: EXECUTE SalesLT.getProducts @category=N'Helmets', @color=N'Red'; GO ProductId Name --------- --------------------707 Sport-100 Helmet, Red

Jeżeli w wywołaniu procedury jej parametry zostaną przekazane w takiej samej kolejności, w jakiej są definiowane w procedurze, wówczas nie będzie konieczne podawanie ich nazw: EXECUTE SalesLT.getProducts N'Helmets', N'Red';

Aby móc wywołać procedurę, użytkownik ją wywołujący musi posiadać uprawnienie EXECUTE (więcej na ten temat w rozdziale 14.).

Parametry wyjściowe i wartości wynikowe Procedury składowane potrafią zwracać wartości w parametrach wyjściowych lub jako wartości wynikowe — służy do tego polecenie RETURN. Wartości wynikowej nie należy używać do przekazywania danych, lecz powinna ona służyć raczej do przekazywania kodów stanu. Na listingu 13.11 znajduje się odpowiedni przykład. Procedura getLowestPrice z listingu zwraca najniższą cenę produktu w parametrze wyjściowym @lowestPrice, oznaczonym słowem kluczowym OUTPUT. Z kolei polecenie RETURN na końcu procedury zwraca wartość 0, jeżeli spełniony jest warunek @lowestPrice=NULL, lub w przeciwnym razie wartość 1.

346 CZĘŚĆ II SQL Server LISTING 13.11. Procedura składowana z parametrem wyjściowym i wartością wynikową IF OBJECT_ID('SalesLT.getLowestPrice', 'P') IS NOT NULL DROP PROC SalesLT.getLowestPrice; GO CREATE PROC SalesLT.getLowestPrice @category nvarchar(50), @lowestPrice money OUTPUT AS SET @lowestPrice = ( SELECT MIN(p.ListPrice) FROM SalesLT.Product AS p JOIN SalesLT.ProductCategory AS pc ON p.ProductCategoryID = pc.ProductCategoryID WHERE pc.Name=@category); RETURN ISNULL(@lowestPrice,0) / ISNULL(@lowestPrice,1); GO

Na listingu 13.12 widać, jak tę procedurę się wywołuje. Przykładowy kod przypisuje wartość wynikową zmiennej @status, zaś parametr wyjściowy jest przypisywany zmiennej @lp. Wywoływany parametr wynikowy również musi zostać poprzedzony słowem kluczowym OUTPUT (lub w skrócie OUT). LISTING 13.12. Wywołanie procedury z parametrem wyjściowym i wartością wynikową DECLARE @lp money; DECLARE @status bit; EXEC @status = SalesLT.getProducts2 @category=N'Helmets', @lowestPrice=@lp OUT; SELECT @status, @lp;

Struktury kontrolne T-SQL pozwala na stosowanie w procedurach składowanych powszechnie znanych struktur kontrolnych IF/ELSE i CASE, a także pętli WHILE, których działaniem można sterować przy użyciu instrukcji BREAK i CONTINUE. Ponieważ struktury kontrolne zawsze odnoszą się do jakichś instrukcji, możliwe jest także definiowanie bloków instrukcji za pomocą słów kluczowych BEGIN i END. Na listingu 13.13 widać, jak na przykładzie procedury getCreditPrice używa się struktur kontrolnych. Procedura składowana oblicza cenę produktu w przypadku, gdy jest on kupowany na raty. Przykład ten jednocześnie ilustruje sposób definiowania komentarzy: komentarz jednowierszowy rozpoczyna się dwoma znakami myślnika "--", zaś komentarze, które zajmują więcej niż jeden wiersz, umieszcza się między sekwencjami /* … */. LISTING 13.13. Procedura składowana ze strukturami kontrolnymi języka T-SQL /* getCreditPrice * Oblicza cenę produktu, jeśli jest on nabywany na raty */ CREATE PROC SalesLT.getCreditPrice @id int, -- SalesLT.Product.ProductId @rate real, -- Miesięczna stopa procentowa @months int = 12, -- Liczba miesięcy

ROZDZIAŁ 13. Zaawansowane funkcje bazodanowe 347 @listPrice money OUTPUT, @price money OUTPUT AS DECLARE @fee money; -- Definicja zmiennej lokalnej, która zlicza opłaty SET @price = ( SELECT ListPrice FROM SalesLT.Product WHERE ProductID = @id); SET @listPrice = @price; SET @fee = CASE -- Opłaty zależą od ceny produktu WHEN @price < 10.0 THEN 0.50 WHEN @price < 50.0 THEN 1.00 ELSE 2.00 END; IF (@months >= 24) BEGIN -- Jeżeli okres spłaty rat przekracza dwa lata, opłaty zwiększają się dwukrotnie SET @fee *= 2; END WHILE (@months > 0) BEGIN -- Obliczenie procentu zwykłego i składanego SET @price = @price * (1+@rate); SET @months -= 1; END SET @price += @fee; GO

UWAGA Jeśli w celu sprawdzenia zgodności z jakąś wartością będziesz używać instrukcji CASE, składnia stanie się bardziej czytelna, ponieważ sprawdzana zmienna będzie znajdować się w bezpośrednim sąsiedztwie instrukcji CASE. Widać to w poniższym fragmencie kodu:

SET @fee = CASE WHEN @price < 10.0 THEN 0.50 WHEN @price < 50.0 THEN 1.00 ELSE 2.00 END;

-- Opłaty zależą od ceny produktu

Wywołania w kodzie PHP W kodzie PHP procedury składowane wywołuje się funkcją sqlsrv_query(). Aby wywołać procedurę z listingu 13.10, wykonaj następujący kod: $stmt = sqlsrv_query($db, "EXEC SalesLT.getProducts N'Helmets'"); while ($obj = sqlsrv_fetch_object($stmt)) { ... } sqlsrv_free_stmt($stmt);

Polecenia predefiniowane ułatwiają dostęp do parametrów wynikowych procedur składowanych. W trakcie wiązania parametrów w poleceniu predefiniowanym możesz wskazać charakter poszczególnych parametrów w następujący sposób: „

SQLSRV_PARAM_IN — definiuje parametr wejściowy.

„

SQLSRV_PARAM_INOUT — definiuje parametr dwukierunkowy, czyli taki, który jest zarówno parametrem wejściowym, jak i wyjściowym.

„

SQLSRV_PARAM_OUT — definiuje parametr wyjściowy.

348 CZĘŚĆ II SQL Server

Aby odpowiednio ustawić opcje parametrów, do funkcji sqlsrv_prepare() trzeba przekazać zmienne PHP zawarte w tablicy: array(&$phpvar [, $charakter_parametru [, $typPHP [, $typSQL]]])

Zmienne PHP należy zawsze przekazywać przez odwołanie (&$zmiennaphp), a nie przez wartość ($zmiennaphp). Ponadto jeżeli przekazujesz zmienną jako parametr dwukierunkowy albo parametr wyjściowy, zawsze upewnij się, że zmienna ta nie jest NULL. Zmienna o wartości NULL może bowiem spowodować wystąpienie błędu. Listing 13.14 pokazuje, w jaki sposób można wywołać procedurę składowaną SalesLT.getCreditPrice z listingu 13.13. Zmienne $listPrice i $creditPrice pełnią rolę parametrów wyjściowych. Pamiętaj, że sterownik sqlsrv rozpoznaje typ danych na podstawie bieżącej wartości zmiennej. Ponieważ procedura SalesLT.getCreditPrice zwraca wartości typu money, należy użyć typu danych float języka PHP. Użycie odpowiedniego typu danych PHP można zapewnić na dwa sposoby: przez wskazanie tego typu jawnie jako SQLSRV_PHPTYPE_FLOAT, jak uczyniono to ze zmienną $listPrice, bądź też (co jest rozwiązaniem mniej bezpiecznym) przez przypisanie zmiennej PHP wartości typu float jeszcze przed przypisaniem jej wartości parametru wyjściowego — sposób ten realizuje się za pomocą instrukcji $creditPrice=0.0. LISTING 13.14. Odczytywanie parametrów wyjściowych w PHP $listPrice = 0; $creditPrice = 0.0; $stmt = sqlsrv_prepare($db, "EXECUTE SalesLT.getCreditPrice ?, ?, ?, ?, ?;", array( 711, 0.01, 24, // pierwsze trzy parametry array(&$listPrice, SQLSRV_PARAM_OUT, SQLSRV_PHPTYPE_FLOAT), array(&$creditPrice, SQLSRV_PARAM_OUT) ) ); sqlsrv_execute($stmt); sqlsrv_free_stmt($stmt); echo "Cena detaliczna: $listPrice
"; echo "Cena w zakupie na raty: $creditPrice
";

Wywoływanie procedur składowanych z PDO Obiekty PDO także pozwalają na wywoływanie procedur składowanych wraz z parametrami wyjściowymi. Musisz jednak pamiętać, że PDO nie obsługuje aż tylu typów danych co natywny sterownik SQL Servera. Ponadto PDO nie obsługuje parametrów wyłącznie wyjściowych, a jedynie parametry wejściowe oraz dwukierunkowe. Parametry dwukierunkowe wskazuje się opcją PDO::PARAM_INPUT_OUTPUT. Gdy w obiektach PDO używa się parametrów dwukierunkowych, trzeba jeszcze pamiętać o jednej rzeczy: w momencie wiązania parametru trzeba określić jego maksymalny rozmiar wyrażony w bajtach. Jeżeli rozmiar parametru będzie większy od podanego, zapytanie zwróci błąd.

ROZDZIAŁ 13. Zaawansowane funkcje bazodanowe 349

Listing 13.15 prezentuje sposób wywołania procedury składowanej SalesLT.getCreditPrice z listingu 13.13. Obydwa parametry $listPrice i $creditPrice są wiązane jako parametry dwukierunkowe, o maksymalnym rozmiarze 20 bajtów. W odróżnieniu od natywnego sterownika SQL Servera PDO nie wymaga przekazywania zmiennych PHP przez odwołanie, co zresztą widać w wywołaniu funkcji bindParam(). Ponieważ PDO nie udostępnia żadnego specjalnego typu, który odpowiadałby typowi money albo float, wynikowy typ danych należy zdefiniować jako ciąg znaków (PDO::PARAM_STR). Trzeba też pamiętać, że PDO zaokrągla wartości typu money do dwóch miejsc po przecinku. Jeżeli potrzebujesz wartości typu money SQL Servera, lecz z czterema miejscami po przecinku, wówczas parametry procedury składowanej będziesz musiał zdefiniować jako wartości typu decimal SQL Servera. LISTING 13.15. Odczytywanie parametrów wyjściowych w PDO try { $stmt = $dbh->prepare("EXECUTE SalesLT.getCreditPrice ?, ?, ?, ?, ?;"); $stmt->bindValue(1, 711); $stmt->bindValue(2, 0.01); $stmt->bindValue(3, 24); $listPrice = 0; $creditPrice = 0; $stmt->bindParam(4, $listPrice, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 20); $stmt->bindParam(5, $creditPrice, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 20); $stmt->execute(); echo "Cena detaliczna: $listPrice
"; echo "Cena w zakupie na raty: $creditPrice
"; } catch(Exception $e) { die( print_r($e->getMessage()) ); }

Funkcje własne Własne funkcje tworzy się poleceniem CREATE FUNCTION. Funkcje działają podobnie jak procedury składowane. Pewnym ich ograniczeniem jest jednak to, że nie można za ich pomocą zmieniać danych, a ponadto działanie funkcji nie może powodować żadnych efektów ubocznych — nie można na przykład wywoływać funkcji NEWID ani RAND. Funkcji można używać zarówno w zapytaniach, jak i w poleceniach języka T-SQL.

Funkcje skalarne Wartość wynikowa funkcji skalarnej jest typu podstawowego, czuli int, datetime lub nchar. Nie może ona być natomiast wartością typu timestamp, cursor ani table. Przykładową funkcję zdefiniowano na listingu 13.16. Podobnie jak w przypadku funkcji języka PHP parametry funkcji własnych umieszcza się w nawiasach okrągłych, wartość wynikową oznacza się słowem kluczowym RETURN, a ciało funkcji znajduje się w bloku BEGIN/END.

350 CZĘŚĆ II SQL Server LISTING 13.16. Własna funkcja, która oblicza marżę w procentach IF OBJECT_ID('SalesLT.margin') IS NOT NULL DROP FUNCTION SalesLT.margin; GO CREATE FUNCTION SalesLT.margin (@cost money, @listprice money) RETURNS float BEGIN RETURN (@listprice/@cost)-1; END GO

Funkcję można wywołać w zapytaniu SELECT: SELECT ProductID, Name FROM SalesLT.Product WHERE SalesLT.margin(StandardCost, ListPrice) < 0.30;

Funkcje tabelowe Funkcje tabelowe zwracają wartości wynikowe w postaci tabeli. Taką wartość tabelową można wykorzystać w klauzuli WHERE zapytania SELECT. Istnieją dwa rodzaje funkcji tabelowych: funkcje wplatane oraz funkcje złożone z wielu poleceń. Wplatane funkcje tabelowe Wplatana funkcja tabelowa to w zasadzie enkapsulowane zapytanie SELECT (co widać na listingu 13.17). Wynikowym typem danych jest RETURNS TABLE. LISTING 13.17. Definiowanie wplatanej funkcji tabelowej CREATE FUNCTION SalesLT.TopSalesPersons(@persons) RETURNS TABLE RETURN ( SELECT TOP (@persons) c.SalesPerson FROM SalesLT.Customer AS c JOIN SalesLT.SalesOrderHeader AS soh ON c.CustomerID=soh.CustomerID GROUP BY c.SalesPerson ORDER BY SUM(soh.SubTotal) DESC );

Aby uzyskać wszystkie regiony, w których znajdują się klienci trzech najlepszych sprzedawców, należy wykonać polecenie widoczne na listingu 13.18, w którego klauzuli JOIN wykonywana jest funkcja tabelowa TopSalesPersons(3). LISTING 13.18. Wywołanie wplecionej funkcji tabelowej SELECT DISTINCT a.StateProvince, a.CountryRegion FROM SalesLT.Address AS a JOIN SalesLT.CustomerAddress AS ca ON a.AddressID=ca.AddressID JOIN SalesLT.Customer AS c ON ca.CustomerID=c.CustomerID JOIN SalesLT.Top3SalesPersons(3) AS t3sp ON c.SalesPerson=t3sp.SalesPerson;

ROZDZIAŁ 13. Zaawansowane funkcje bazodanowe 351

Funkcje tabelowe złożone z wielu poleceń Funkcja tabelowa złożona z wielu poleceń przypisuje tabelę zmiennej i zwraca tę zmienną. Przykład funkcji tego typu znajduje się na listingu 13.19. W przykładzie połączono ze sobą funkcję z listingu 13.17 oraz zapytanie z listingu 13.18 i na tej podstawie zdefiniowano funkcję RegionsOfTopSalesPersons() zwracającą regiony, w których mają swoje siedziby klienci najlepszych sprzedawców. LISTING 13.19. Funkcja tabelowa złożona z wielu poleceń CREATE FUNCTION SalesLT.RegionsOfTopSalesPersons (@persons int) RETURNS @Regions TABLE (StateProvince nvarchar(50), CountryRegion nvarchar(50)) BEGIN DECLARE @TopSalesPersons TABLE (SalesPerson nvarchar(256)); INSERT INTO @TopSalesPersons SELECT TOP (@persons) c.SalesPerson FROM SalesLT.Customer AS c JOIN SalesLT.SalesOrderHeader AS soh ON c.CustomerID=soh.CustomerID GROUP BY c.SalesPerson ORDER BY SUM(soh.SubTotal) DESC; INSERT INTO @Regions SELECT DISTINCT a.StateProvince, a.CountryRegion FROM SalesLT.Address AS a JOIN SalesLT.CustomerAddress AS ca ON a.AddressID=ca.AddressID JOIN SalesLT.Customer AS c ON ca.CustomerID=c.CustomerID JOIN @TopSalesPersons AS t3sp ON c.SalesPerson=t3sp.SalesPerson; RETURN; END;

Wyzwalacze Wyzwalacze to poręczne narzędzia, za pomocą których można zapewnić spójność danych oraz wykonywać polecenia języka T-SQL w reakcji na zdarzenia. Wyzwalacze inicjują działania w momencie odczytywania tabeli albo w przypadku zmiany modelu danych. Najczęściej używanymi typami wyzwalaczy są wyzwalacze, które odpowiadają poleceniom wykonywanym na danych (UPDATE, INSERT, DELETE). Szczegółowy opis wyzwalaczy znajduje się w kolejnych punktach.

Tworzenie wyzwalacza Listing 13.20 prezentuje sposób tworzenia wyzwalacza poleceniem CREATE TRIGGER. Składnia tego polecenia jest podobna do składni polecenia, którym tworzy się procedurę składowaną. LISTING 13.20. Tworzenie wyzwalacza IF OBJECT_ID('SalesLT.CorrectDates','TR') IS NOT NULL DROP TRIGGER SalesLT.CorrectDates; GO CREATE TRIGGER SalesLT.CorrectDates ON SalesLT.SalesOrderDetail FOR INSERT, UPDATE

352 CZĘŚĆ II SQL Server AS IF EXISTS (SELECT * FROM inserted AS i JOIN SalesLT.Product AS p ON i.ProductID = p.ProductID WHERE p.SellEndDate < getdate()) BEGIN RAISERROR ('Produkt nie jest już dostępny.', 16, 1); ROLLBACK TRANSACTION; RETURN END; GO

Dla jednej tabeli można zdefiniować kilka wyzwalaczy, nawet inicjowanych przez tę samą operację. W kolejnym punkcie szczegółowo opiszę wszystkie czynności wykonywane w kodzie z listingu 13.20.

Szczegółowy opis kodu tworzącego wyzwalacz Najpierw kod sprawdza, czy wyzwalacz o podanej nazwie już istnieje. Jeżeli tak, zostaje on usunięty. Następnie definiuje się nowy wyzwalacz: CREATE TRIGGER SalesLT.CorrectDates ON SalesLT.SalesOrderDetail

Wyzwalacze są połączone z czynnościami wykonywanymi na tabeli. Dlatego po słowie kluczowym ON wskazuje się tabelę, dla której wyzwalacz jest definiowany. Następnie wskazywana jest akcja, która inicjuje wyzwalacz: FOR INSERT, UPDATE

W tym przypadku wyzwalacz jest inicjowany przez polecenia INSERT i UPDATE, natomiast wykonanie polecenia DELETE nie spowoduje zainicjowania wyzwalacza. Zamiast słowa FOR można zamiennie używać też słowa kluczowego AFTER. Wyzwalacz można wykonać nie tylko w reakcji na jakąś czynność, ale również zamiast tej czynności. W tym celu zamiast słowa FOR należy użyć słowa kluczowego INSTEAD OF. Dla każdej akcji, która inicjuje wyzwalacz, można zdefiniować tylko jeden wyzwalacz zamienny. Tego typu wyzwalaczy najczęściej używa się do obsługi widoków. W dalszej kolejności definiowane jest ciało wyzwalacza: AS IF EXISTS (SELECT * FROM inserted AS i JOIN SalesLT.Product AS p ON i.ProductID = p.ProductID WHERE p.SellEndDate < getdate())

W kodzie wyzwalacza dostępne są dwie tabele: inserted oraz deleted. Tabela inserted zawiera wiersze, które mają zostać dodane do tabeli, albo wiersze, które zostały właśnie zmienione przez polecenie UPDATE. Z kolei tabela deleted zawiera wiersze usunięte z tabeli albo wiersze w postaci sprzed zmiany dokonanej przez UPDATE. W wyrażeniu warunkowym sprawdzamy, czy w skład zamówienia wchodzi produkt, który nie jest już dostępny (p.SellEndDate < getdate()).

ROZDZIAŁ 13. Zaawansowane funkcje bazodanowe 353 UWAGA Jeżeli polecenie UPDATE nie zmieni żadnego wiersza ze względu na zbyt restrykcyjne warunki zdefiniowane w klauzuli WHERE, tabele inserted i deleted będą puste.

Jeżeli produkt nie jest już dostępny, wykonywana jest następująca czynność: BEGIN RAISEERROR ('Produkt jest już niedostępny.', 16, 1); ROLLBACK TRANSACTION; RETURN END;

Polecenie RAISEERROR generuje komunikat błędu, zaś ROLLBACK TRANSACTION wycofuje wprowadzone zmiany.

Inicjowanie wyzwalacza Jeżeli do SalesOrderDetail zostanie dodany nowy wiersz, SQL Server wywoła wyzwalacz i zwróci błąd: INSERT INTO SalesLT.SalesOrderDetail (SalesOrderID, OrderQty, ProductID, UnitPrice) VALUES (71774, 3, 709, 9.50); GO Msg 50000, Level 16, State 1, Procedure CorrectDates, Line 8 Produkt nie jest już dostępny. Msg 3609, Level 16, State 1, Line 1 The transaction ended in the trigger. The batch has been aborted.

Podsumowanie W tym rozdziale opisałem mechanizm wyszukiwania pełnotekstowego, transakcje oraz programowanie w języku T-SQL. Dzięki wyszukiwaniu pełnotekstowemu w aplikacjach PHP można przeszukiwać opisy, komentarze, treść stron, tytuły i inne treści. Dzięki połączeniu kilku kolumn w indeksie można jednym zapytaniem przeszukiwać różne treści. Transakcje pozwalają na łączenie wielu poleceń języka T-SQL w jedną, atomową jednostkę wykonania i zapisywanie wszystkich zmian lub wykonywanie ich wszystkich. Transakcji powinno się używać szczególnie wówczas, gdy aplikacja PHP zmienia jednocześnie więcej niż jedną tabelę. Jeżeli wprowadzenie zmiany doprowadzi do błędu, tabele można przywrócić do pierwotnej postaci funkcją sqlsrv_rollback() albo jej odpowiednikiem PDO. Procedury składowane, własne funkcje oraz wyzwalacze to narzędzia przeznaczone do wykonywania złożonych zadań bezpośrednio na bazie danych, bez odwoływania się do kodu PHP aplikacji. Dzięki przeniesieniu części logiki aplikacji do bazy danych można zapewnić sobie spójność i dokładność danych. W następnym rozdziale wyjaśnię, jak za pomocą procedur składowanych można podnieść stopień zabezpieczeń baz danych.

354 CZĘŚĆ II SQL Server

Rozdział 14.

Użytkownicy i uprawnienia W tym rozdziale: Role główne SQL Servera .................................................................................................355 Tworzenie ról głównych SQL Servera ..............................................................................357 Obiekty i uprawnienia .......................................................................................................365 Procedury składowane .....................................................................................................370 Podsumowanie ..................................................................................................................373

Microsoft SQL Server kontroluje bezpieczeństwo danych z wykorzystaniem użytkowników i ról (tak zwanych ról głównych). Użytkownikom i rolom przypisuje się uprawnienia do obiektów serwera. Za każdym razem, gdy ma nastąpić zapisanie lub odczytanie danych albo wykonanie procedury składowanej, najpierw weryfikowane są uprawnienia roli głównej. Rola główna może odczytać dane tylko wówczas, gdy posiada wymagane uprawnienia. W kolejnych punktach tego rozdziału opiszę role główne, uprawnienia oraz obiekty.

Role główne SQL Servera Role główne SQL Servera dzielą się na następujące klasy: „

Rodzaj uwierzytelnienia — użytkownik (albo grupa) systemu Windows albo konto użytkownika SQL Servera. Możliwe jest także uwierzytelnienie z użyciem kluczy asymetrycznych albo certyfikatów.

„

Poziom roli głównej — role główne można tworzyć na poziomie serwera lub bazy danych.

„

Rola lub login — login to uwierzytelniony użytkownik lub grupa. Role to wewnętrzne grupy SQL Servera. SQL Server posiada predefiniowane role, które funkcjonują na poziomie bazy danych lub serwera.

Zwykle tworzy się login użytkownika, który funkcjonuje na poziomie serwera, następnie loginowi temu przypisuje się bazę danych oraz role użytkowników, które posiadają odpowiednie uprawnienia dostępu do poszczególnych elementów bazy danych. W kolejnych punktach opiszę wykorzystywane do tego celu role główne SQL Servera.

356 CZĘŚĆ II SQL Server

Role główne serwera Role główne serwera definiuje się na poziomie całego SQL Servera. Rolom głównym serwera można przypisywać uprawnienia do wszystkich baz danych. W SQL Serverze rola główna użytkownika to tak zwany login. W następnych podpunktach opiszę dwa typy loginów. Typy loginów Typy loginów ról głównych serwera zależą od użytkowników systemu Windows oraz użytkowników SQL Servera. Z punktu widzenia administratora bazy danych bardziej korzystne jest bazowanie na użytkownikach i grupach systemu Windows niż na użytkownikach SQL Servera. Polityki zarządzania hasłami oraz inne czynności zarządcze są kontrolowane poza bazą danych. Zwłaszcza obecność grup systemu Windows zaoszczędza administratorom mnóstwa pracy. Jeżeli dany użytkownik dołącza do danego zespołu, opuszcza go albo zmienia się jego rola w tym zespole, struktura zabezpieczeń bazy danych może pozostać niezmieniona, ponieważ zmianie ulega wówczas tylko lista członków danej grupy, a nie sama grupa. Z kolei zaletą użytkowników SQL Servera jest to, że są oni niezależni od użytkowników systemu Windows i najlepiej się sprawdzają w zarządzaniu użytkownikami aplikacji funkcjonującymi najczęściej w publicznie dostępnych witrynach internetowych. Role serwera W tabeli 14.1 opisano dziewięć dostępnych, predefiniowanych ról serwera. Loginom można przypisywać role predefiniowane, nie można natomiast tworzyć własnych ról serwera. Role serwera są w pierwszym rzędzie przeznaczone do zarządzania SQL Serverem. Każdemu użytkownikowi przypisywana jest rola public (która jest rolą domyślną). Dlatego jeśli chcesz, aby wszyscy użytkownicy mieli dostęp do serwera, powinieneś im przypisywać tylko rolę public. TABELA 14.1. Role serwera w SQL Serverze

Rola serwera

Opis uprawnień

bulkadmin

Dodawanie danych do bazy poleceniem BULK INSERT.

dbcreator

Tworzenie, zmienianie, usuwanie i przywracanie baz danych.

diskadmin

Zarządzanie plikami danych SQL Servera.

processadmin

Zatrzymywanie, anulowanie i ponowne uruchamianie procesów SQL Servera.

public

Domyślna rola dla wszystkich użytkowników, z uprawnieniami ograniczonymi do minimum.

securityadmin

Zarządzanie prawami dostępu, resetowanie haseł.

serveradmin

Zmienianie konfiguracji serwera oraz wyłączanie i ponowne uruchamianie serwerów.

setupadmin

Dodawanie i usuwanie połączonych serwerów.

sysadmin

Dostęp w pełnym zakresie, ze wszystkimi uprawnieniami.

ROZDZIAŁ 14. Użytkownicy i uprawnienia 357

Role główne bazy danych Role główne bazy danych funkcjonują jedynie w bazie danych, w której te role zostały zdefiniowane. Istnieją również role na poziomie baz danych — na tym poziomie można też tworzyć własne role. Użytkownicy baz danych Aby przydzielić uprawnienia do obiektów bazy danych albo ról głównych serwera, musisz utworzyć użytkownika dla loginu w bazie danych. Użytkownik bazy danych reprezentuje login zdefiniowany w tej bazie, któremu przypisano uprawnienia do jej wybranych elementów. Można także tworzyć użytkowników bazy danych bez przypisanego im loginu serwerowego. Użytkownik bez loginu jest zazwyczaj wykorzystywany po to, aby uzyskiwać dostęp do elementów właśnie jako ten zdefiniowany użytkownik (klauzula EXECUTE AS). Kombinacja loginu, roli serwera, użytkownika (bazy danych) oraz roli bazy danych daje ogromną elastyczność w projektowaniu struktury zabezpieczeń. Zwykle użytkownicy, którzy nie posiadają loginu, są wykorzystywani tylko przez aplikacje. Role baz danych Role można przypisywać użytkownikom na poziomie baz danych. Rola to zbiór użytkowników baz danych i każdej roli można przypisywać uprawnienia do wybranych elementów bazy danych. Powszechnie zalecaną praktyką jest przypisywanie uprawnień nie bezpośrednio użytkownikom, lecz rolom, a następnie przypisanie tych ról użytkownikom. W celu zmiany uprawnień użytkownika wystarczy później zmienić przypisaną mu rolę i nie trzeba zmieniać jego konkretnych uprawnień. Tabela 14.2 opisuje predefiniowane role bazy danych. Role db_datareader i db_datawriter są zazwyczaj używane po to, aby umożliwiać użytkownikom dostęp do wybranych elementów bazy danych. Role db_denydatareader i db_denydatawriter blokują ten dostęp, nawet jeśli ten sam użytkownik posiada uprawnienie przeciwstawne wynikające z przypisanej mu innej roli. W konstrukcji mechanizmów zabezpieczeń SQL Servera ograniczenie zawsze jest ważniejsze niż uprawnienie. Dodatkowo względem ról funkcjonujących na poziomie serwera możesz zdefiniować własne role bazy danych, aby zwiększyć precyzję i elastyczność zabezpieczeń.

Tworzenie ról głównych SQL Servera W tym punkcie pokażę, jak w SQL Server Management Studio (SSMS) oraz przy użyciu poleceń języka Transact-SQL (T-SQL) tworzy się loginy funkcjonujące na poziomie serwera, a także jak przypisuje się tym loginom nowych użytkowników na poziomie bazy danych. Przypisywanie uprawnień będzie tematem punktu „Obiekty i uprawnienia” w dalszej części tego rozdziału.

358 CZĘŚĆ II SQL Server TABELA 14.2. Predefiniowane role baz danych w SQL Serverze

Rola bazy danych

Opis uprawnień

db_accessadmin

Dodawanie i usuwanie użytkowników bazy danych.

db_backupoperator

Tworzenie kopii bezpieczeństwa bazy danych bez dostępu do zawartości bazy.

db_datareader

Odczytywanie (SELECT) danych ze wszystkich tabel innych niż systemowe.

db_datawriter

Zapisywanie (INSERT, UPDATE, DELETE) danych do wszystkich tabel innych niż systemowe.

db_ddladmin

Wykonywanie poleceń DDL (ang. data definition language — język definiowania danych), do których należą między innymi polecenia CREATE TABLE, ALTER TABLE, DROP TABLE, CREATE INDEX.

db_denydatareader

Odebranie prawa odczytu (SELECT) danych z wszystkich tabel.

db_denydatawriter

Odebranie prawa zapisu do wszystkich tabel.

db_owner

Wszystkie uprawnienia do wszystkich elementów bazy danych oraz prawo do usuwania bazy (DROP DATABASE).

db_securityadmin

Zarządzanie rolami i uprawnieniami.

Tworzenie loginów W pierwszym kroku tworzy się login, aby umożliwić dostęp do SQL Servera. Sposób zarządzania hasłem tego loginu zależy od tego, czy login ten jest użytkownikiem SQL Servera, czy użytkownikiem systemu Windows. Tworzenie loginów w SSMS Aby utworzyć nowy login na poziomie serwera w SSMS, wykonaj następujące czynności: 1. Uruchom SSMS i połącz się z instancją wybranego serwera. 2. W przeglądarce obiektów wybierz odpowiedni serwer, kliknij pozycję Security i prawym

przyciskiem myszy kliknij pozycję Logins. W wyświetlonym menu podręcznym wybierz polecenie New Login. Otwarte zostanie okno dialogowe Login — New, widoczne na rysunku 14.1. 3. Włącz pożądany sposób uwierzytelniania: uwierzytelnianie użytkowników lub grup

systemu Windows albo uwierzytelnianie SQL Servera. 4. W polu tekstowym Login Name wpisz nazwę użytkownika, a następnie naciśnij przycisk

Search, aby poszukać tej nazwy na serwerze (lub w domenie Windows). UWAGA Po naciśnięciu przycisku Search nie można dodać użytkowników puli aplikacji serwera

Internet Information Services (IIS) — trzeba ich nazwy wpisać ręcznie w polu tekstowym Login name. Gdy użytkownicy ci zostaną znalezieni, ich nazwy zostaną błędnie dodane do pola tekstowego. Domyślnym użytkownikiem standardowej puli aplikacji jest IIS AppPool\DefaultAppPool.

360 CZĘŚĆ II SQL Server

Aby utworzyć login dla domyślnego użytkownika standardowej puli aplikacji serwera IIS, wykonaj następujące polecenie: CREATE LOGIN [IIS AppPool\DefaultAppPool] FROM WINDOWS

Poleceniem CREATE LOGIN tworzy się również użytkownika SQL Servera: CREATE LOGIN nazwaLoginu WITH PASSWORD = 'hasło' [ HASHED ] [ MUST_CHANGE ] [ , { SID = sid | DEFAULT_DATABASE = baza_danych | DEFAULT_LANGUAGE = język | CHECK_EXPIRATION = { ON | OFF} | CHECK_POLICY = { ON | OFF} | CREDENTIAL = nazwa_poświadczenia } [ ,... ] ]

Atrybut CHECK_POLICY zapewnia, że hasło będzie zgodne z polityką zarządzania hasłem systemu Windows na komputerze, na którym działa SQL Server. Atrybut CHECK_EXPIRATION wskazuje, czy możliwość dalszego korzystania z loginu należy zablokować po kilku nieudanych próbach uwierzytelnienia, zaś MUST_CHANGE wymusza na użytkowniku zmianę jego hasła po pierwszym zalogowaniu się. Aby utworzyć login dla użytkownika daniel, którego hasło będzie zgodne z lokalną polityką zarządzania hasłami, wykonaj następujące polecenie: CREATE LOGIN [daniel] WITH PASSWORD 'miłośnik chomików' MUST_CHANGE, CHECK_POLICY_ON GO

Do przypisania loginowi ról serwera służy procedura sp_addsrvrolemember: EXEC master..sp_addsrvrolemember @loginame = N'daniel', @rolename = N'dbcreator' GO

Z kolei procedura sp_dropsrvrolemember usuwa rolę serwera: EXEC master..sp_dropsrvrolemember @loginame = N'daniel', @rolename = N'dbcreator' GO

Tworzenie użytkowników Po utworzeniu loginów na poziomie serwera trzeba utworzyć użytkowników na poziomie bazy danych. W następnych punktach opiszę, jak tworzy się takich użytkowników w SSMS oraz przy użyciu poleceń języka T-SQL. Tworzenie użytkowników w SSMS Aby utworzyć nowego użytkownika bazy danych w SSMS, wykonaj następujące czynności: 1. Uruchom SSMS i połącz się z serwerem. 2. W przeglądarce obiektów wybierz bazę danych, kliknij pozycję Security, a następnie kliknij

prawym przyciskiem myszy pozycję Users. W wyświetlonym menu podręcznym wybierz polecenie New User.

ROZDZIAŁ 14. Użytkownicy i uprawnienia 361

Wyświetlone zostanie okno dialogowe Database User — New, widoczne na rysunku 14.2.

RYSUNEK 14.2. Tworzenie nowego użytkownika bazy danych w SSMS

3. Wybierz nazwy loginów, które chcesz przypisać na poziomie serwera, po czym naciśnij

przycisk […] z prawej strony pola tekstowego, aby poszukać tych loginów. 4. W polu tekstowym User name wpisz nazwę użytkownika.

Możesz wpisać dowolną nazwę użytkownika, jednak najlepszą praktyką jest używanie tej samej nazwy dla użytkownika bazy danych i loginu. 5. W odpowiednim polu tekstowym możesz przypisać użytkownikowi domyślny schemat.

Aby wyszukać schemat bazy danych, kliknij przycisk, który znajduje się z prawej strony pola tekstowego. Domyślny schemat jest używany wówczas, gdy element bazy danych zostanie użyty bez wskazywania nazwy schematu. 6. W panelu Database Role Membership możesz przypisać użytkownikowi role bazy danych

— wystarczy w tym celu zaznaczyć pola opcji odpowiadające poszczególnym rolom. 7. Naciśnij przycisk OK, aby utworzyć użytkownika.

362 CZĘŚĆ II SQL Server

W SSMS można też tworzyć użytkowników bazy danych i przypisywać im login bezpośrednio we właściwościach loginu: 1. W przeglądarce obiektów wybierz pożądany serwer, kliknij pozycję Security i prawym

przyciskiem myszy kliknij pozycję Logins. W wyświetlonym menu podręcznym wybierz polecenie Properties. Wyświetlone zostanie okno dialogowe Login Properties. 2. Wybierz stronę User Mapping. 3. W tabeli loginów każdej bazie danych możesz przypisać użytkownika oraz domyślny schemat.

W sekcji u dołu okna dialogowego wskaż role bazy danych, do których ma należeć użytkownik bazy, w sposób widoczny na rysunku 14.3.

RYSUNEK 14.3. Przypisywanie loginom użytkowników bazy danych

4. Naciśnij przycisk OK, aby zatwierdzić wprowadzone ustawienia. Jeżeli przypisani

użytkownicy bazodanowi nie będą istnieć, zostaną automatycznie utworzeni i serwer przypisze im odpowiednie role bazy danych.

ROZDZIAŁ 14. Użytkownicy i uprawnienia 363

Tworzenie użytkowników w języku T-SQL Aby utworzyć użytkownika bazy danych w języku T-SQL-DDL, wykonaj polecenie CREATE USER, którego składnia wygląda następująco: CREATE USER nazwa_użytkownika [ { FOR | FROM } LOGIN nazwa_loginu | WITHOUT LOGIN ] [ WITH DEFAULT_SCHEMA = nazwa_schematu ]

Polecenie to trzeba wykonać w kontekście bazy danych. Aby utworzyć użytkownika daniel w bazie danych AdventureWorksLT2008 dla loginu XMP\daniel, wykonaj polecenie o następującej treści: USE AdventureWorksLT2008 CREATE USER [daniel] FOR LOGIN [XMP\daniel] WITH DEFAULT_SCHEMA=[SalesLT] GO

Procedura sp_addrolemember przypisuje użytkownikowi role bazy danych: USE AdventureWorksLT2008 EXEC sp_addrolemember N'db_datareader', N'daniel' EXEC sp_addrolemember N'db_datawriter', N'daniel' GO

Przypisaną rolę usuwa się z kolei procedurą sp_droprolemember: USE AdventureWorksLT2008 EXEC sp_droprolemember N'db_datawriter', N'daniel' GO

Tworzenie ról baz danych Role na poziomie bazy danych możesz tworzyć samodzielnie, a także przypisywać im uprawnienia, a same role możesz przypisywać użytkownikom. Dzięki temu, że rolom można przypisywać inne role, możesz tworzyć hierarchię ról zgodnie z wymaganiami dla danej aplikacji. Jeżeli będziesz używać więcej niż jednego użytkownika aplikacji i przekazywać do SQL Servera więcej niż jeden login użytkownika przeznaczony dla aplikacji PHP, powinieneś stosować role z przypisanymi odpowiednimi uprawnieniami, aby zmniejszyć czasochłonność czynności administracyjnych. Tworzenie ról baz danych w SSMS Aby utworzyć nową rolę bazy danych w SSMS, wykonaj następujące czynności: 1. W przeglądarce obiektów wybierz bazę danych, kliknij pozycję Security/Roles i prawym

przyciskiem myszy kliknij pozycję Database. Następnie w menu podręcznym wybierz polecenie New Database Role. Na ekranie pojawi się okno dialogowe Database Role — New. 2. W oknie dialogowym wpisz nazwę roli bazy danych, po czym w polu tekstowym Owner

wybierz użytkownika (rysunek 14.4). Aby odszukać użytkownika bazy danych, naciśnij przycisk […] z prawej strony pola tekstowego.

364 CZĘŚĆ II SQL Server

RYSUNEK 14.4. Tworzenie nowej roli bazy danych w SSMS

3. Naciśnij przycisk Add, aby dodać do roli użytkowników lub inne role bazy danych. 4. Naciśnij przycisk OK, aby utworzyć rolę bazy danych.

Tworzenie ról baz danych przy użyciu języka T-SQL W języku T-SQL do tworzenia ról baz danych służy polecenie CREATE ROLE: CREATE ROLE role_name [ AUTHORIZATION nazwa_właściciela ]

Aby w bazie danych AdventureWorksLT2008 utworzyć rolę CallCenterRep, wykonaj następujące polecenie: USE AdventureWorksLT2008 CREATE ROLE CallCenterRep GO

Procedura sp_addrolemember dodaje użytkowników do roli, zaś procedura sp_droprolemember usuwa z roli tych użytkowników: USE AdventureWorksLT2008 EXEC sp_addrolemember N'CallCenterRep', N'Barbara' EXEC sp_droprolemember N'CallCenterRep', N'XMP\daniel' GO

ROZDZIAŁ 14. Użytkownicy i uprawnienia 365

Obiekty i uprawnienia Obiekty są kluczowymi elementami SQL Servera, do których nadaje się uprawnienia. Każdy obiekt posiada swojego właściciela, który sprawuje pełną kontrolę nad obiektem. Domyślnym właścicielem obiektów bazodanowych jest właściciel bazy danych dbo. Aby umożliwić dostęp do obiektów innym użytkownikom, trzeba tym użytkownikom nadać uprawnienia do tych konkretnych obiektów. Zasadniczo uprawnienia dzieli się na prawa odczytu, zapisu i zarządzania obiektami. Dla aplikacji internetowych szczególnie istotne są uprawnienia odpowiedzialne za odczyt i zapis danych w obiektach. Uprawnienia można przypisywać nie tylko użytkownikom, ale również rolom baz danych. Powszechnie zaleca się, aby nie nadawać uprawnień bezpośrednio użytkownikom oraz utrzymywać niezależność struktur zarządzania użytkownikami i uprawnieniami. UWAGA Obiekty obecne w bazie danych zawsze należą do jakiegoś schematu. Począwszy od SQL Servera 2005, schematy pozostają niezależne od użytkownika — schemat posiada właściciela i w jego skład wchodzą obiekty, które zdefiniowano niezależnie od użytkowników. Dzięki temu, że nazewnictwo obiektów, na przykład tabel, pozostaje niezależne od właściciela obiektu, zarządzanie użytkownikami i uprawnieniami jest prostsze.

Uprawnienia W tabeli 14.3 przedstawiono uprawnienia, które można przypisywać w SQL Serverze. Zależnie od typu obiektu dotyczyć go będą tylko niektóre uprawnienia. Na przykład uprawnienia wykonywania dotyczą tylko procedur składowanych, a nie tabel. Jak widać w tabeli, uprawnienia są dość rozdrobnione, zwłaszcza te dotyczące tabel i widoków. Dla prawie wszystkich poleceń języka T-SQL istnieją oddzielne uprawnienia. TABELA 14.3. Uprawnienia dla obiektów

Uprawnienie

Opis

UPDATE

Zmiana danych w tabeli lub widoku.

ALTER

Zmiana i usuwanie obiektu.

EXECUTE

Wykonanie procedur składowanych.

SELECT

Odczytywanie danych z tabel lub widoków.

TAKE OWNERSHIP

Przejęcie własności obiektu.

VIEW DEFINITION

Wyświetlanie definicji obiektu, na przykład procedury składowanej lub tabeli.

INSERT

Dodawanie danych do tabeli.

IMPERSONATE

Przybranie tożsamości innego użytkownika.

DELETE

Usuwanie danych z tabeli lub widoku.

CONTROL

Pełna kontrola nad obiektem.

REFERENCES

Wykonywanie zapytań, które wpływają na ograniczenia kluczy obcych.

366 CZĘŚĆ II SQL Server

Opisane uprawnienia można nadawać (GRANT), odmówić ich (DENY) oraz nadawać je z uprawnieniem dalszego nadawania tego samego uprawnienia innym rolom głównym (GRANT WITH GRANT OPTION). Uprawnienia rzeczywiste Rzeczywisty zakres uprawnień dla obiektu jest wyznaczany na podstawie praw wszystkich ról przypisanych użytkownikowi oraz praw użytkownika, które nadano mu do obiektu oraz wszystkich obiektów nadrzędnych. Na przykład aby użytkownik julia mógł odczytać dzięki poleceniu SELECT dane z tabeli SalesLT.Customer, potrzebuje on przynajmniej jednego z poniższych uprawnień. „

Uprawnienie SELECT do tabeli SalesLT.Customer.

„

Uprawnienie SELECT do schematu SalesLT.

„

Uprawnienie SELECT do schematu SalesLT dla roli bazy danych CallCenterRep, przypisanej użytkownikowi julia.

„

Predefiniowana rola bazy danych db_datareader.

Jeżeli użytkownikowi lub jednej z przypisanych mu ról odbierze się uprawnienie w sposób jawny, użytkownik ten nie będzie miał dostępu do obiektu. Polecenie DENY zawsze ma pierwszeństwo przed uprawnieniem nadanym poleceniem GRANT. Łańcuchy własności Jeżeli obiekty danych mają tego samego właściciela i są przetwarzane w ramach polecenia po kolei, uprawnienia są sprawdzane na różne sposoby. Jeżeli natomiast obiekt wywołujący i wywoływany mają tego samego właściciela, uprawnienia nie są sprawdzane. Na rysunku 14.5 przedstawiono przykład, w którym procedura P korzysta z widoku V. Widok V łączy w sobie tabele T1 i T2. Jeżeli Daniel posiada uprawnienie do wykonywania procedury P, jego uprawnienia do widoku V nie będą już sprawdzane, ponieważ P i V mają tego samego właściciela (Dorota). Jeżeli widok będzie pobierał dane z tabeli T1, uprawnienia Daniela też nie będą sprawdzane, ponieważ V i T1 mają tych samych właścicieli. Inaczej natomiast przedstawia się sytuacja z tabelą T2: V i T2 mają różnych właścicieli (Dorota, Julia), dlatego uprawnienia Daniela do tabeli T2 są już sprawdzane.

RYSUNEK 14.5. Łączenie uprawnień na podstawie łańcucha własności

ROZDZIAŁ 14. Użytkownicy i uprawnienia 367

Ponieważ uprawnienia są łączone w łańcuch względem właściciela, Daniel może nie mieć możliwości bezpośredniego dostępu do tabeli T1 i widoku V, natomiast może wykonywać procedurę P, ponieważ posiada odpowiednie uprawnienie do jej wykonywania. Daniel potrzebuje uprawnienia odczytu tylko do tabeli T2. Łańcuchy własności stanowią zatem przydatne narzędzie do ograniczania dostępu do określonych danych. Więcej informacji na ten temat przedstawię w punkcie „Procedury składowane” w dalszej części tego rozdziału. Uprawnienia można łączyć względem własności jedynie w przypadku poleceń SELECT, INSERT, UPDATE oraz DELETE. UWAGA Obiekty trzeba wywoływać tak, jak pokazano na rysunku 14.5. Inaczej mówiąc, obiekty należy wywoływać przy użyciu procedury składowanej, wyzwalacza albo widoku. Proste polecenie JOIN nie wyzwala mechanizmu łańcucha własności.

Zarządzanie uprawnieniami w SSMS W SSMS można nadawać uprawnienia do elementów, których dotyczą zabezpieczenia (zwykle obiekty bazodanowe oraz bazy danych), na dwa sposoby: przez zdefiniowanie uprawnienia dla obiektu oraz przez zdefiniowanie uprawnienia dla użytkownika lub loginu. Definiowanie uprawnień przez obiekty Aby zdefiniować uprawnienie przez obiekt, wykonaj następujące czynności: 1. W przeglądarce obiektów kliknij prawym przyciskiem myszy wybrany obiekt

(na przykład tabelę) i w wyświetlonym menu podręcznym wybierz polecenie Properties. 2. W wyświetlonym oknie dialogowym wybierz stronę Permissions. 3. Naciśnij przycisk Search (pierwszy krok na rysunku 14.6) i w wyświetlonym oknie dialogowym

naciśnij Browse (krok drugi). Na liście możesz wskazać użytkowników i role — w szczególności wszystkich użytkowników i wszystkie role bazy danych. Naciśnij OK, aby zatwierdzić zmiany. 4. Wybierz rolę główną, która będzie nadawać prawa (krok trzeci na rysunku 14.6), a następnie

nadaj jej wymagane uprawnienia (krok czwarty). 5. Naciśnij przycisk OK, aby zatwierdzić ustawienia. UWAGA Na rysunku 14.6 widać, że uprawnienia do tabeli można definiować oddzielnie dla poszczególnych kolumn. Aby nadać uprawnienia do konkretnych kolumn, naciśnij przycisk Column Permissions.

Definiowanie uprawnień przez role główne Uprawnienia można też nadawać bezpośrednio przez użytkowników bazy danych albo role. W tym celu wykonaj następujące czynności: 1. W przeglądarce obiektów kliknij wybranego użytkownika prawym przyciskiem myszy

i w menu podręcznym wybierz polecenie Properties.

ROZDZIAŁ 14. Użytkownicy i uprawnienia 369 GRANT [ ,...n ] ON { [ OBJECT :: ][ nazwa_schematu ]. nazwa_obiektu [ ( kolumna [ ,...n ] ) ] | SCHEMA :: nazwa_schematu } TO [ ,...n ] [ WITH GRANT OPTION ]

Nazwy uprawnień zostały przedstawione w tabeli 14.3. W poleceniu można użyć (uznanego już za przestarzałe) słowa kluczowego ALL, aby wskazać uprawnienia wymagane do edytowania danych. Słowo kluczowe ALL oznacza zbiór następujących uprawnień do tabel: DELETE, INSERT, REFERENCES, SELECT i UPDATE. Klauzula WITH GRANT OPTION nadaje użytkownikowi (lub roli) prawo do przypisywania tych samych uprawnień innym użytkownikom lub rolom. Aby nadać roli CallCenterRep uprawnienie do odczytu danych z wszystkich tabel należących do schematu SalesLT, a także uprawnienie do zapisywania danych w tabelach SalesLT.Customer, SalesLT.CustomerAddress oraz SalesLT.Address, należy wykonać następujące polecenie: USE AdventureWorksLT2008 GRANT SELECT ON SCHEMA::SalesLT TO CallCenterRep GRANT SELECT,UPDATE,DELETE,INSERT ON OBJECT::SalesLT.Customer TO CallCenterRep GRANT SELECT,UPDATE,DELETE,INSERT ON SalesLT.CustomerAddress TO CallCenterRep GRANT SELECT,UPDATE,DELETE,INSERT ON SalesLT.Address TO CallCenterRep GO

Jawne odmawianie uprawnień (DENY) Za pomocą polecenia DENY jawnie odmawia się wskazanych uprawnień. Składnia polecenia jest podobna do składni polecenia GRANT: DENY [ ,...n ] ON { [ OBJECT :: ][ nazwa_schematu ]. nazwa_obiektu [ ( kolumna [ ,...n ] ) ] | SCHEMA :: nazwa_schematu } TO [ ,...n ] [ CASCADE ]

Opcja CASCADE wskazuje, że uprawnienie zostało odmówione nie tylko wskazanej roli głównej, ale również wszystkim użytkownikom i rolom autoryzowanym przez tę rolę główną. Aby odmówić użytkownikowi XMP\daniel prawa do usuwania i zmieniania danych przechowywanych w tabelach ze schematu SalesLT, a także odmówić uprawnienia do wprowadzania zmian w tabeli dbo.ErrorLog, wykonaj następujące polecenie: USE AdventureWorksLT2008 DENY DELETE,UPDATE ON SCHEMA::SalesLT TO [XMP\daniel] DENY INSERT,UPDATE,DELETE ON OBJECT::dbo.ErrorLog TO [XMP\daniel] GO

Odbieranie uprawnień (REVOKE) Polecenie REVOKE języka T-SQL służy do odbierania lub usuwania uprawnień. Składnia polecenia jest podobna do składni polecenia DENY:

370 CZĘŚĆ II SQL Server REVOKE [ GRANT OPTION FOR ] [ ,...n ] ON { [ OBJECT :: ][ nazwa_schematu ]. nazwa_obiektu [ ( kolumna [ ,...n ] ) ] | SCHEMA :: nazwa_schematu } { FROM | TO } [ ,...n ] [ CASCADE ]

Jeżeli w poleceniu REVOKE użyte zostanie słowo kluczowe GRANT OPTION FOR, wówczas odebrane zostanie nie samo uprawnienie, lecz tylko możliwość jego przypisywania innym rolom głównym. Opcja CASCADE powoduje odebranie uprawnienia zarówno wskazanej roli głównej, jak i wszystkim użytkownikom i rolom, którym uprawnienie przysługuje dzięki roli głównej. Aby odebrać uprawnienia nadane w punktach „Nadawanie uprawnień (GRANT)” i „Jawne odmawianie uprawnień (DENY)”, wykonaj następujące polecenie: USE AdventureWorksLT2008 REVOKE SELECT ON SCHEMA::SalesLT TO CallCenterRep REVOKE SELECT,UPDATE,DELETE,INSERT ON OBJECT::SalesLT.Customer TO CallCenterRep REVOKE SELECT,UPDATE,DELETE,INSERT ON SalesLT.CustomerAddress TO CallCenterRep REVOKE SELECT,UPDATE,DELETE,INSERT ON SalesLT.Address TO CallCenterRep REVOKE DELETE,UPDATE ON SCHEMA::SalesLT TO [XMP\daniel] REVOKE INSERT,UPDATE,DELETE ON OBJECT::dbo.ErrorLog TO [XMP\daniel] GO

Procedury składowane Procedury składowane także mogą być narzędziem zapewnienia bezpieczeństwa. Na przykład użytkownikom można nadać prawo wykonywania procedur składowanych i odmówić wszelkich innych uprawnień.

Bezpieczeństwo przez uprawnienia Na przykładzie tabeli AccessLog z listingu 14.1 widać, jak za pomocą procedur składowanych można zwiększyć poziom bezpieczeństwa bazy danych. W tabeli tej zapisywane są próby logowania się do bazy. Zakres zapisywanych danych uwzględnia nazwę użytkownika, czas ostatniego dostępu do bazy oraz liczbę prób dostępu. Trzeba jednak również zapewnić, aby użytkownicy nie mieli możliwości wpisania do tabeli fałszywych danych ani zmieniania danych, które zostały w tabeli umieszczone już wcześniej. Dlatego roli public (czyli w praktyce wszystkim użytkownikom) odmówiono uprawnień INSERT, UPDATE i DELETE. LISTING 14.1. Definicja tabeli AccessLog CREATE TABLE xmp.AccessLog ( Username nvarchar(256) NOT NULL DEFAULT user_name() PRIMARY KEY, LastAccess datetime NOT NULL DEFAULT getdate(), AccessCount int NOT NULL DEFAULT 1 ); GO DENY INSERT, UPDATE, DELETE ON xmp.AccessLog TO public GO

ROZDZIAŁ 14. Użytkownicy i uprawnienia 371

Z kolei na listingu 14.2 znajduje się powiązana z tą tabelą procedura składowana logAccess. W naszym przykładzie procedura logAccess zwiększa wartość prób dostępu o 1 i funkcją getdate() ustawia bieżącą datę i godzinę jako czas ostatniej próby dostępu dokonanej przez bieżącego użytkownika (funkcja user_name()). Jeżeli polecenie UPDATE nie zostanie wykonane ze względu na brak użytkownika (zmienna @@ROWCOUNT zawiera liczbę wierszy, które zostały objęte działaniem ostatnio wykonanego polecenia), wówczas zamiast niego dodany zostanie nowy wiersz. Prawo wykonywania procedury nadano roli public. LISTING 14.2. Procedura składowana, która dodaje wpis do dziennika CREATE PROC xmp.logAccess AS UPDATE xmp.AccessLog SET AccessCount=AccessCount+1, LastAccess=getdate() WHERE Username=user_name(); IF @@ROWCOUNT != 1 BEGIN INSERT INTO xmp.AccessLog DEFAULT VALUES; END; GO GRANT EXECUTE ON xmp.logAccess TO public GO

Wszyscy użytkownicy mogą więc teraz rejestrować swoje próby dostępu, wywołując procedurę logAccess poleceniem EXEC xmp.logAccess;. Taką próbą dostępu może być na przykład manipulowanie danymi w określony sposób. Użytkownicy nie mogą jednak zmieniać ani usuwać danych dotyczących wykonywanych przez nich prób dostępu. Istnieje także możliwość ograniczenia możliwości odczytu niektórych wpisów w dzienniku (listing 14.3). Również w tym przypadku rola public otrzymała prawo do wykonywania procedury i jednocześnie odebrano jej prawo do odczytywania zawartości tabeli. LISTING 14.3. Procedura składowana i prawa dostępu, które ograniczają możliwość odczytu danych CREATE PROC xmp.getAccessLog AS SELECT AccessCount, LastAccess FROM xmp.AccessLog WHERE Username=user_name(); GO GRANT EXECUTE ON xmp.getAccessLog TO public; DENY SELECT ON xmp.AccessLog TO public; GO

UWAGA Tę samą konstrukcję uprawnień możesz stworzyć za pomocą własnej funkcji. Jednak funkcje

nie mogą zmieniać danych, a jedynie je pobierać. Ponadto funkcjom nie można nadawać uprawnień wykonywania (EXECUTE). Uprawnienie odczytu (SELECT) decyduje o tym, czy w ogóle możliwe jest użycie funkcji tabelowej.

372 CZĘŚĆ II SQL Server

Jeżeli rola public uwzględnia wszystkich użytkowników, to dlaczego ci użytkownicy mogą wykonywać polecenia INSERT, UPDATE i SELECT zawarte w procedurze, a już analogicznych poleceń T-SQL nie mogą wykonywać? Odpowiedź jest prosta: ponieważ wynika to z połączenia uprawnień, zgodnie z opisem zawartym w punkcie „Łańcuchy własności”.

Wykonywanie jako inny użytkownik SQL Server pozwala użytkownikom przybierać tożsamość innych użytkowników. Do przybierania tożsamości w ramach aktywnego połączenia służą polecenia EXECUTE AS oraz REVERT. Ze względu na specyfikę działania pul połączeń w aplikacjach PHP funkcji tej należy używać z daleko idącą ostrożnością. Procedury składowane także można wykonywać jako inny użytkownik, co czyni możliwość przybierania tożsamości innego użytkownika atrakcyjną dla aplikacji PHP. W następnych punktach przedstawię szczegółowe informacje na temat działania mechanizmu przybierania tożsamości. Definiowanie użytkownika W momencie tworzenia procedury można wskazać użytkownika, który będzie tę procedurę wykonywał. Dostępne są następujące opcje: „

EXECUTE AS CALLER — procedura składowana jest wykonywana przez użytkownika, który ją wywołuje (jest to zachowanie domyślne).

„

EXECUTE AS OWNER — procedura składowana jest wykonywana na koncie użytkownika,

który jest właścicielem tej procedury. „

EXECUTE AS 'nazwa użytkownika' — procedura składowana jest wykonywana przez

wskazanego użytkownika. „

EXECUTE AS SELF — prostsza forma opcji EXECUTE AS 'nazwa użytkownika'. Użytkownikiem

jest w tym przypadku użytkownik, który definiuje lub zmienia procedurę. Kod z listingu 14.4 pokazuje, jak klauzulą WITH EXECUTE AS wskazuje się użytkownika, który wykonuje procedurę. LISTING 14.4. Procedura wykonywana na koncie innego użytkownika CREATE PROC runAsJulia WITH EXECUTE AS 'Julia' AS SELECT user_name() AS DatabaseUser; GO

Gdy użytkownik Daniel wywoła tę procedurę poleceniem EXEC runAsJulia, wynikiem będzie Julia, ponieważ procedura jest wykonywana właśnie na użytkowniku Julia.

ROZDZIAŁ 14. Użytkownicy i uprawnienia 373

Wymagane uprawnienia Czasami do przybrania tożsamości innego użytkownika potrzebne są specjalne uprawnienia. W przypadku procedury z listingu 14.4 użytkownik Daniel wymaga tylko uprawnienia EXECUTE, aby móc wykonać procedurę runAsJulia. Jeżeli to Julia utworzyła procedurę runAsJulia, nie potrzebuje ona żadnych uprawnień do wykonania procedury — wystarczy, że ma już uprawnienie do stworzenia procedury (CREATE PROCEDURE). Gdyby to Daniel miał utworzyć procedurę, musiałby mieć prawo do przybrania tożsamości użytkownika Julia: GRANT IMPERSONATE ON USER::julia TO daniel

Klauzule EXECUTE AS CALLER i EXECUTE AS SELF nie wymagają żadnych specjalnych uprawnień. Zwykle EXECUTE AS OWNER także nie wymaga specjalnych uprawnień, ponieważ w znakomitej większości przypadków procedura jest tworzona przez tego samego użytkownika, który jest też jej właścicielem.

Podsumowanie W tym rozdziale opisałem, jak w SQL Serverze tworzy się loginy, użytkowników i role oraz jak obiektom baz danych przypisuje się uprawnienia. Za pomocą procedur składowanych, łańcuchów własności i przybierania tożsamości można precyzyjnie projektować struktury zabezpieczeń oparte na zasadzie minimalizacji wymaganych uprawnień. Gdy będziesz tworzył aplikacje PHP i strukturę uprawnień, musisz za każdym razem odpowiedzieć sobie na kilka pytań: „

Na jakim koncie ma działać PHP? (Patrz rozdział 5. „Bezpieczeństwo”).

„

Czy do aplikacji należy przekazywać użytkownika PHP/Windows, czy też aplikacja powinna używać loginów SQL Servera? (Patrz rozdział 12. „PHP i SQL Server”). Jeśli używane są loginy SQL Servera, to czy dla aplikacji PHP powinno się użyć loginu SQL Servera, czy też użytkownicy powinni być zarządzani w SQL Serverze?

„

Jak podzielić tabele na użyteczne schematy?

„

Kto powinien być właścicielem tabel i innych obiektów? Jak odnieść role aplikacji PHP do ról i użytkowników baz danych?

„

W jaki sposób można zwiększyć bezpieczeństwo dostępu do danych przy użyciu procedur składowanych?

Nie istnieje jedna, uniwersalna polityka, jednak zwykle w aplikacjach PHP programiści skłaniają się ku korzystaniu z loginów SQL Servera zamiast loginów systemu Windows. W takiej sytuacji powinieneś przeanalizować konstrukcję aplikacji PHP, aby ustalić, czy dla ról aplikacji można tworzyć różne role bazy danych (na przykład dla użytkowników anonimowych, użytkowników uwierzytelnionych i administratorów aplikacji). Tym rozdziałem zamykam temat SQL Servera. W następnej części książki przedstawię Microsoft Active Directory.

374 CZĘŚĆ II SQL Server

Część III

Active Directory W tej części: Rozdział 15. „Konfigurowanie Active Directory” ...............................................................377 Rozdział 16. „Podstawy LDAP” ..........................................................................................399 Rozdział 17. „Wyszukiwanie w Active Directory”.............................................................421 Rozdział 18. „Zapisywanie w Active Directory” ................................................................457

Rozdział 15.

Konfigurowanie Active Directory W tym rozdziale: Przegląd .............................................................................................................................377 Instalowanie Active Directory ..........................................................................................380 Pierwsze kroki ...................................................................................................................384 Konfigurowanie usług certyfikatów w Active Directory ..................................................391 Operacje na certyfikatach .................................................................................................395 Podsumowanie ..................................................................................................................398

Microsoft Active Directory jest usługą katalogową, która jest wykorzystywana do przechowywania informacji o użytkownikach, grupach, drukarkach oraz urządzeniach sieciowych i zarządzania nimi. Active Directory jest centralnym źródłem danych o użytkownikach oraz obiektach w organizacji i pełni kluczową rolę przy uwierzytelnianiu użytkowników oraz kontroli uprawnień. W rozdziale tym przedstawię instalację usług domenowych Active Directory (AD DS) oraz operacje tworzenia zapisów na temat użytkowników, grup, komputerów i jednostek organizacyjnych za pomocą interfejsu zarządzającego. Przedstawię również instalację usług certyfikatów Active Directory, które pozwalają na uruchomienie własnego centrum certyfikacji. Certyfikaty wystawiane za pomocą tych usług posłużą nam do zabezpieczania połączeń pomiędzy PHP, usługą Active Directory oraz serwerem Microsoft Exchange.

Przegląd Najważniejsze dla systemu dane na temat użytkowników, komputerów i innych tego typu obiektów są przechowywane w Active Directory. Mogą to być nazwy kont, hasła oraz uprawnienia dostępu, jak również informacje ogólne — na przykład adres biura użytkownika.

378 CZĘŚĆ III Active Directory

W przeciwieństwie do bazy danych (na przykład Microsoft SQL Server) Active Directory zarządza statycznymi danymi, które są regularnie odczytywane. Wykorzystywany model danych nie jest relacyjny — wszystkie pozycje w katalogu są zorganizowane hierarchicznie. Usługa Active Directory zapewnia replikację danych pomiędzy serwerami działającymi w architekturze nie posiadającej nadrzędnego serwera obsługującego dane.

Domeny Wpisy w Active Directory są organizowane w domeny, a usługa katalogowa zapisująca dane w domenie jest nazywana kontrolerem domeny. Domeny definiują osobne przestrzenie nazw. Wszystkie wpisy w domenie mają wspólną nazwę główną, co pozwala uniknąć konfliktów pomiędzy różnymi domenami. Nazwy główne domen są zgodne ze standardem internetowych nazw domenowych (DNS); przykładami prawidłowych nazw domenowych są contoso.com, sales.en-ca.adventureworks oraz xmp.site. Przy użyciu Active Directory można zarządzać kilkoma domenami oraz tworzyć relacje zaufania pomiędzy różnymi domenami, na przykład użytkownik w domenie A może zalogować się do komputera w domenie B. Gdy łączymy w ten sposób domeny, tworzymy las domen. Termin „las” używany jest z powodu hierarchicznej struktury wpisów w katalogu, które są również nazywane drzewem katalogu. Las domen jest jednocześnie granicą zaufania i bezpieczeństwa: programy i usługi w lesie „ufają sobie” wzajemnie, ale usługi poza lasem domyślnie nie są zaufane. Na rysunku 15.1 przedstawiona jest graficzna reprezentacja lasu. Strzałki pomiędzy domenami ilustrują relacje zaufania. Użytkownicy w domenie support.adventure.works mogą korzystać z drukarki z domeny region.contoso.com, ale nie z drukarki w domenie other.domain, ponieważ other.domain nie należy do lasu, więc znajduje się poza granicą zaufania.

RYSUNEK 15.1. Domeny i las usługi Active Directory

ROZDZIAŁ 15. Konfigurowanie Active Directory 379

Pierwsza domena wygenerowana w lesie staje się główną domeną lasu, poprzez którą realizuje się operacje zarządzania lasem. Z punktu widzenia użytkownika domena główna nie różni się szczególnie od innych. Powinniśmy tworzyć możliwie niewiele domen w organizacji, ponieważ wraz ze wzrostem ich liczby zwiększają się nakłady na zarządzanie nimi. Dzięki hierarchicznej strukturze zawartości katalogu możliwe jest delegowanie funkcji zarządzających w domenie. Kontrolery domeny mogą zawierać globalny katalog, dzięki czemu usprawniają się operacje replikacji oraz skalowania. W katalogu globalnym zapisywane są obiekty nie tylko z własnej domeny, ale również obiekty z innych domen. Dzięki temu nie wszystkie kontrolery domeny muszą kontaktować się ze sobą w celu przeszukania lasu; w większości przypadków wystarcza przeszukanie katalogu globalnego.

Obiekty Active Directory Obiekty w Active Directory są posortowane hierarchicznie i mogą posiadać obiekt nadrzędny oraz podrzędne. Obiekty zawierają trzy różne typy danych: „

Nazwa i identyfikator obiektu. Każdy obiekt posiada unikatową nazwę, która może być użyta do wyszukiwania i odczytu obiektów.

„

Atrybut. Dane obiektu są zapisywane w atrybutach, które mają zdefiniowaną składnię oraz strukturę, dzięki czemu upraszcza się korzystanie z nich w aplikacjach. Zbiór wszystkich tych zasad jest nazywany schematem.

„

Metadane. Każdy obiekt posiada metadane, takie jak prawa dostępu do obiektu. UWAGA Prawa dostępu do obiektów są niezależne od praw dostępu do definiowanych przez nie

elementów systemu. Na przykład użytkownik nie może zmienić obiektu komputera w Active Directory, ale może zmieniać dane na tym komputerze, modyfikować ustawienia lokalne i tak dalej.

Dzięki możliwości hierarchicznego organizowania obiektów oraz precyzyjnym uprawnieniom dostępu można zarządzać katalogiem w sposób zgodny z wymaganiami oraz strukturą organizacji. Zapisane w lesie obiekty wszystkich domen i skojarzone z nimi atrybuty korzystają z takiej samej składni oraz zasad struktury; inaczej mówiąc, używają tego samego schematu. Schemat określa również listę atrybutów replikowanych w katalogu globalnym. Aby katalog globalny nie zajmował zbyt dużo miejsca, kopiowane są wyłącznie atrybuty często wykorzystywane przy wyszukiwaniu.

380 CZĘŚĆ III Active Directory

Instalowanie Active Directory Ponieważ usługa Active Directory jest bardzo rozbudowana, konieczne jest zaplanowanie struktury domeny i lasu oraz przeanalizowanie podstawowych wymagań i parametrów. Szczegółowy opis wykracza poza ramy tej książki. Zamieszczony tu opis instalacji pozwala na utworzenie odpowiedniego środowiska dla programowania z użyciem PHP. Z tego powodu utworzono osobną domenę w nowym lesie, niezależną od innych domen i lasów. Ponieważ skupię się na odczycie i edycji obiektów domeny, nie będę szczegółowo opisywać zagadnień związanych z replikacją, katalogiem globalnym oraz lasem.

Przygotowanie Razem z usługami domenowymi Active Directory na kontrolerze domeny instalowany jest serwer DNS, którego zadaniem będzie tłumaczenie nazw komputerów i innych urządzeń sieciowych. Choć instalowanie serwera DNS jest opcjonalne, jest to zalecane, ponieważ upraszcza obsługę nazw i adresów urządzeń. Serwer DNS powinien mieć statyczny adres IP, który będzie używany w urządzeniach sieciowych pracujących w domenie. Dlatego do komputera, na którym będzie instalowany serwer DNS, powinniśmy przydzielić co najmniej jeden statyczny adres IP. Jeżeli komputer ten ma kilka kart sieciowych, należy wybrać kartę, do której podłączony jest segment sieci z komputerami i urządzeniami z przyszłej domeny. Potrzebujemy tylko jednego statycznego adresu IP, ponieważ nie wszystkie karty sieciowe muszą mieć nadany adres statyczny. W zależności od budowy sieci wystarczający jest jeden statyczny adres IP dla IPv4. Do momentu przydzielenia co najmniej jednego statycznego adresu IP nie należy rozpoczynać instalacji, ponieważ może być konieczne ponowne uruchomienie komputera w celu zastosowania zmian. WAŻNE Jeżeli komputer był instalowany ze wstępnie skonfigurowanego obrazu, należy upewnić się, że

komputer (kontroler domeny) posiada unikatowy identyfikator zabezpieczeń (SID). Identyczne wartości SID mogą później powodować problemy lub nie, co uzależnione jest od oprogramowania do tworzenia obrazów. Aby sprawdzić wartości SID komputerów, można użyć programu PsGetSID, dostępnego pod adresem http://technet.microsoft.com/en-us/sysinternals/bb897417.aspx.

Instalowanie roli Aby zainstalować rolę serwera Active Directory, wykonaj następujące operacje: 1. Uruchom program Menedżer serwera, a następnie wybierz Role, Dodaj role.

Zostanie uruchomiony kreator dodawania ról.

ROZDZIAŁ 15. Konfigurowanie Active Directory 381 2. Na stronie Role serwera wybierz opcję Usługi domenowe w usłudze Active Directory. Jeżeli

nie jest zainstalowane środowisko Microsoft .NET Framework, zostanie wyświetlone okno dialogowe informujące o konieczności dodania tej funkcji, pokazane na rysunku 15.2. Kliknij Dodaj wymagane funkcje.

RYSUNEK 15.2. Dodawanie .NET Framework 3.5.1

3. Kliknij dwukrotnie Dalej, a następnie kliknij Zainstaluj, aby uruchomić proces instalacji.

Po prawidłowym zakończeniu instalacji (patrz rysunek 15.3) kliknij Zamknij, aby zakończyć pracę kreatora.

RYSUNEK 15.3. Udana instalacja roli Active Directory

382 CZĘŚĆ III Active Directory

Instalowanie usług katalogowych Aby kontynuować instalowanie usług katalogowych AD, uruchom program dcpromo.exe: 1. W programie Menedżer serwera kliknij Role/Usługi domenowe w usłudze Active Directory.

Na ekranie zostanie wyświetlony komunikat informujący, że usługi domenowe nie są aktywne, ponieważ wcześniej należy wykonać instalację za pomocą programu Kreator instalacji usług domenowych w usłudze Active Directory (dcpromo.exe). Kliknij łącze w celu rozpoczęcia instalacji za pomocą programu dcpromo.exe (patrz rysunek 15.4).

RYSUNEK 15.4. Instalowanie usług domenowych Active Directory za pomocą dcpromo.exe

Uruchomiony zostanie Kreator instalacji usług domenowych w usłudze Active Directory. 2. Na stronie Wybieranie konfiguracji wdrażania wybierz opcję Utwórz nową domenę w nowym lesie. 3. Na stronie Nadawanie nazwy domenie głównej lasu wpisz w polu tekstowym w pełni

kwalifikowaną nazwę domeny (FQDN). Nazwa FQDN powinna zawierać co najmniej dwa poziomy, na przykład: contoso.com lub development.internal. W tej książce będziemy korzystać z domeny xmp.site. 4. Na stronie Ustawianie poziomu funkcjonalności lasu wybierz z listy rozwijanej wersję

systemu operacyjnego, z którą ma być zgodny kontroler domeny. Jeżeli nie musisz brać pod uwagę starszych wersji systemu, ponieważ konfigurujesz kontroler wyłącznie na potrzeby środowiska programistycznego, możesz wybrać najnowszą wersję (Windows Server 2008 R2) poziomu funkcjonalnego lasu. WSKAZÓWKA Jeżeli wybierzesz poziom funkcjonalności lasu Windows Server 2008 R2, możesz (później) aktywować funkcję kosza, która ułatwia odzyskiwanie usuniętych użytkowników i innych obiektów.

ROZDZIAŁ 15. Konfigurowanie Active Directory 383 5. Na stronie Dodatkowe opcje kontrolera domeny wybierz Serwer DNS. Pozwala to nadawać

nazwy komputerom w domenie, a następnie wyszukiwać je z użyciem serwera DNS współdziałającego z kontrolerem domeny. 6. Jeżeli nadal korzystasz z dynamicznego adresu IP, zostanie wyświetlone okno dialogowe

pokazane na rysunku 15.5. Jeżeli do karty sieciowej obsługującej sieć wewnętrzną masz przypisany statyczny adres IP, możesz zignorować to ostrzeżenie i kliknąć Tak.

RYSUNEK 15.5. Ostrzeżenie o wykryciu dynamicznego adresu IP

7. Jeżeli nie zostanie znaleziona nadrzędna strefa autoryzacji, zostanie wyświetlone okno

dialogowe z odpowiednim komunikatem. Zwykle dzieje się tak w przypadku tworzenia głównej domeny bez strefy nadrzędnej (na przykład development.internal lub xmp.site) lub gdy nie jest możliwa automatyczna integracja z istniejącą infrastrukturą DNS. W takim przypadku należy ręcznie wykonać integrację lub delegację. Kliknij Tak, aby przejść dalej. 8. Na stronie Lokalizacja bazy danych, plików dziennika i folderu SYSVOL należy wskazać

folder, do którego będą zapisywane dane Active Directory. Jeżeli nie masz specjalnych wymagań co do tej lokalizacji, zachowaj standardowe ustawienia. 9. Wpisz hasło administratora dla trybu odtwarzania. Hasło to musi się różnić od hasła dla

konta administratora. WSKAZÓWKA Ponieważ hasło to jest używane wyłącznie przy odtwarzaniu, co zdarza się stosunkowo rzadko,

istnieje duże prawdopodobieństwo, że zostanie ono zapomniane. Jednak jest ono wymagane do przeprowadzenia odtwarzania. Bez tego hasła możliwe jest wyłącznie wykonanie ponownej instalacji Active Directory, co poskutkuje utratą danych. Z tego powodu powinieneś zapisać to hasło i przechowywać je w bezpiecznym miejscu.

10. Na stronie Podsumowanie kliknij Zakończ, co spowoduje uruchomienie procesu instalacji. 11. Po udanym wykonaniu instalacji powinieneś ponownie uruchomić serwer.

Po uruchomieniu serwera usługi AD DS są dostępne. Kolejnym krokiem jest dodanie komputerów do domeny i utworzenie użytkowników w tej domenie.

384 CZĘŚĆ III Active Directory

Pierwsze kroki W rozdziale 16. „Podstawy LDAP” przedstawię model danych i programowanie z użyciem Active Directory. Jednak wcześniej krótko opiszę najważniejsze typy obiektów oraz pokażę, w jaki sposób można je modyfikować z użyciem przystawki AD DS dla programu Microsoft Management Console (MMC). Podrozdział ten nie ma na celu wyjaśnienia wszystkich zadań administracji Active Directory, a jedynie jest ogólnym omówieniem.

Usługi domenowe w usłudze Active Directory Aby wykonać zadania administracyjne z użyciem obiektów użytkowników i komputerów, użyj przystawki Usługi domenowe w usłudze Active Directory dla aplikacji MMC. 1. Uruchom tę przystawkę, klikając Start/Narzędzia administracyjne/Usługi domenowe

w usłudze Active Directory. Możesz również otworzyć konsolę i dodać przystawkę, klikając Plik, a następnie Dodaj/Usuń przystawkę. W lewym panelu nawigacyjnym przedstawiona jest hierarchia Active Directory, a w prawym panelu znajduje się zawartość aktualnego kontenera, jak pokazano na rysunku 15.6.

RYSUNEK 15.6. Zarządzanie użytkownikami i komputerami za pomocą programu Microsoft Management Console

2. Istniejąca (widoczna) hierarchia obejmuje: „

Builtin. Predefiniowane znane grupy ze standardowymi uprawnieniami dla różnych zadań w Windows oraz w domenie.

„

Computers. Wszystkie komputery w domenie.

„

Domain Controllers. Komputery te są kontrolerami domeny w bieżącej domenie.

„

ForeignSecurityPrincipals. Użytkownicy oraz podmioty zabezpieczeń z zaufanej domeny poza lasem.

ROZDZIAŁ 15. Konfigurowanie Active Directory 385 „

Managed Service Accounts. Podmioty dla usług automatycznie zarządzanych przez Active Directory.

„

Users. Standardowy kontener dla użytkowników i grup.

Dobrą praktyką jest tworzenie własnych jednostek organizacyjnych dla użytkowników i grup, jak również dla komputerów. Za pomocą jednostek organizacyjnych można tworzyć hierarchię oraz rozdzielać podmioty zgodnie z wymaganiami organizacji. Następnie można użyć zasad grupy do zarządzania podmiotami. Zasady grupy są między innymi używane do definiowania i zarządzania uprawnieniami dostępu, zaaprobowanymi aplikacjami, folderami standardowymi oraz wpisami rejestru Windows dla grup. Zasady grup są dziedziczone w hierarchii katalogu i mogą się wzajemnie nadpisywać oraz uzupełniać. Są one ważnym narzędziem dla administratorów domeny.

Jednostki organizacyjne Jednostki organizacyjne służą w Active Directory jako kontenery dla obiektów. Są one najważniejszymi elementami tworzącymi hierarchię katalogu (patrz rysunek 15.7). Jednostki organizacyjne nie są częścią żadnej z grup ani nie mają własnego podmiotu zabezpieczeń. Jednak możliwe jest przydzielanie zasad grupy do jednostek organizacyjnych, co pozwala manipulować obiektami podrzędnymi.

RYSUNEK 15.7. Hierarchia jednostek organizacyjnych

Tworzenie jednostki organizacyjnej Aby utworzyć nową jednostkę organizacyjną, wykonaj następujące operacje: 1. W panelu nawigacyjnym konsoli MMC wybierz kontener, w którym zamierzasz utworzyć

jednostkę organizacyjną. 2. Z menu Akcja wybierz Nowa, a następnie Jednostka organizacyjna. 3. W oknie dialogowym wpisz nazwę jednostki organizacyjnej. Aby chronić kontener

przed przypadkowym skasowaniem, zaznacz odpowiednie pole wyboru. 4. Kliknij OK, aby potwierdzić ustawienia i utworzyć jednostkę organizacyjną.

386 CZĘŚĆ III Active Directory

Definiowanie dodatkowych właściwości Aby przypisać do jednostki organizacyjnej dodatkowe właściwości informacyjne, wykonaj następujące operacje: 1. W panelu nawigacyjnym konsoli MMC zaznacz jednostkę organizacyjną. 2. W menu Akcja kliknij Właściwości.

Spowoduje to otwarcie okna dialogowego, w którym możemy umieścić opis jednostki organizacyjnej oraz jej adres (patrz rysunek 15.8).

RYSUNEK 15.8. Okno właściwości dla jednostki organizacyjnej

3. Na zakładce Zarządzany przez można przekazać administrowanie tą jednostką

organizacyjną oraz jej obiektami podrzędnymi innemu użytkownikowi. 4. Kliknij OK, aby potwierdzić ustawienia.

Usuwanie jednostki organizacyjnej Aby usunąć jednostkę organizacyjną, zaznacz ją w panelu nawigacyjnym konsoli MMC. Kliknij menu Akcja, a następnie Usuń. Jednostka organizacyjna jest usuwana po potwierdzeniu pytania bezpieczeństwa. OSTRZEŻENIE Jeżeli jednostka organizacyjna posiada obiekty potomne, również one są usuwane.

Dlatego powinieneś wcześniej upewnić się, że można bezpiecznie usunąć wszystkie obiekty podrzędne.

ROZDZIAŁ 15. Konfigurowanie Active Directory 387

Jeżeli jednostka organizacyjna jest chroniona przed przypadkowym usunięciem, wykonaj następujące operacje: 1. W konsoli MMC, w menu Widok, kliknij Funkcje zaawansowane. 2. W panelu nawigacyjnym zaznacz jednostkę organizacyjną, którą chcesz usunąć, a następnie

kliknij opcję Właściwości z menu Akcja. 3. Na zakładce Obiekt usuń zaznaczenie opcji Chroń obiekt przed przypadkowym usunięciem,

a następnie kliknij OK. 4. W panelu menu Akcja kliknij Usuń. 5. Potwierdź pytanie bezpieczeństwa, aby usunąć jednostkę organizacyjną.

Użytkownicy Użytkownicy są podstawowymi podmiotami zabezpieczeń, które reprezentują programy, usługi lub użytkowników, którzy chcą korzystać z komputerów i usług. Operacje tworzenia, modyfikowania i usuwania użytkowników wykonuje się w analogiczny sposób jak tworzenie, modyfikowanie i usuwanie jednostek organizacyjnych. Tworzenie użytkownika Użytkowników można tworzyć w niemal każdym miejscu hierarchii katalogu przez wykonanie poniższych kroków. 1. W panelu nawigacyjnym konsoli MMC wybierz kontener, w którym zamierzasz utworzyć

obiekt użytkownika. 2. Z menu Akcja wybierz Nowa, a następnie Użytkownik.

Na ekranie zostanie wyświetlone okno dialogowe Nowy obiekt – Użytkownik, jak jest to pokazane na rysunku 15.9.

RYSUNEK 15.9. Tworzenie nowego użytkownika

388 CZĘŚĆ III Active Directory 3. Wpisz w odpowiednich polach nazwę oraz nazwę logowania (za pomocą której użytkownik

loguje się do usług i komputerów). Wartość pola Nazwa logowania użytkownika musi być unikatowa w domenie, a nazwa dla systemów wcześniejszych niż Windows 2000 powinna być identyczna jak nazwa logowania użytkownika. Kliknij Dalej. UWAGA Dla Windows w wersji wcześniejszej niż 2000 nazwy użytkowników nie powinny być dłuższe niż 20 znaków. 4. Podaj hasło użytkownika, włącz lub wyłącz opcje hasła zgodnie z wymaganiami organizacji,

a następnie kliknij Dalej. 5. Kliknij Zakończ, aby utworzyć użytkownika.

Zmiana właściwości użytkownika Aby zmienić właściwości użytkownika, zaznacz obiekt użytkownika w konsoli MMC, a następnie wybierz opcję Właściwości z menu Akcja. Na rysunku 15.10 pokazano, jak zdefiniować dodatkowe dane (takie jak adres, telefon, organizacja), zmienić dane systemowe (na zakładce Konto) oraz zarządzać członkostwem w grupach (na zakładce Członkostwo).

RYSUNEK 15.10. Zbiór zakładek okna właściwości

Usuwanie użytkownika Aby usunąć obiekt użytkownika, zaznacz go w panelu nawigacyjnym konsoli MMC. W panelu akcji kliknij Usuń, a następnie Tak, aby potwierdzić operację. Należy zachować ostrożność przy usuwaniu danych użytkowników, ponieważ operacja ta nie zawsze może być cofnięta. Odtworzenie użytkownika o tej samej nazwie oraz nazwie logowania nie zawsze jest możliwe. Użytkownicy są identyfikowani z użyciem wartości SID, ale nowy użytkownik o tej samej nawie ma inną wartość SID, więc odtworzony użytkownik będzie uznawany za nowego. WSKAZÓWKA W Windows Server 2008 R2 do Active Directory została dodana funkcja kosza, dzięki czemu można łatwo odtwarzać usunięte obiekty. Więcej informacji na temat kosza Active Directory można znaleźć na stronie http://technet.microsoft.com/en-us/library/dd392261%28WS.10%29.aspx.

ROZDZIAŁ 15. Konfigurowanie Active Directory 389

Grupy Grupy są niezależnymi podmiotami zabezpieczeń. Mogą one mieć przydzielane uprawnienia dostępu do plików lub logowania do usług i komputerów. Grupy posiadają inne podmioty (użytkownicy, grupy, komputery) niż obiekty, które dziedziczą ich uprawnienia. Ponieważ grupy mogą wchodzić w skład innych grup, można tworzyć hierarchie grup inne niż hierarchia obiektów w Active Directory. Hierarchia grup tworzy hierarchię uprawnień, natomiast hierarchia obiektów w Active Directory tworzy przede wszystkim hierarchię administracyjną i organizacyjną. Dodatkowo podmioty mogą być członkami dowolnej liczby grup, natomiast obiekty Active Directory mają tylko jeden obiekt nadrzędny. Tworzenie grupy Grupy mają różne typy i zasięg. Jeżeli grupa posiada typ Dystrybucja, nie stanowi ona podmiotu zabezpieczeń, ale służy wyłącznie do grupowania jej członków — na przykład w celu utworzenia grupy dystrybucyjnej w Exchange. Grupa o typie Zabezpieczenia jest podmiotem, do którego można przydzielać uprawnienia dostępu i inne prawa. Zasięg grupy determinuje członków i uprawnienia grupy. Grupy uniwersalne różnią się od grup globalnych tym, że mogą obejmować członków z wszystkich domen w lesie i mogą mieć nadawane uprawnienia z wszystkich domen. Grupy globalne mogą posiadać członków wyłącznie z własnej domeny, mogą mieć przydzielane prawa z własnej domeny, mogą być członkiem innej grupy w innej domenie. Grupy o zasięgu Lokalny w domenie mogą posiadać członków z wszystkich domen w lesie, ale można do nich przypisywać wyłącznie prawa z własnej domeny. Grupy globalne są często najlepszym wyborem, ponieważ zapewniają równowagę pomiędzy funkcjonalnością a nakładami na replikację pomiędzy domenami. Aby utworzyć nową grupę, wykonaj następujące operacje: 1. W panelu nawigacyjnym konsoli MMC wybierz kontener, w którym zamierzasz utworzyć

obiekt grupy. Z menu Akcja wybierz Nowa, a następnie Grupa. Na ekranie zostanie wyświetlone okno dialogowe Nowy obiekt – Grupa, jak jest to pokazane na rysunku 15.11. 2. Wpisz do pola nazwę grupy (nazwa dla systemów wcześniejszych niż Windows 2000 powinna

być taka sama). Ustaw odpowiednie wartości w obszarach Zakres grupy oraz Typ grupy. 3. Kliknij OK, aby utworzyć grupę.

Konfigurowanie członków i członkostwa Aby zarządzać członkami oraz członkostwem w grupach, użyj opcji Właściwości z menu Akcja konsoli MMC, a następnie w oknie właściwości wykonaj następujące operacje. 1. Wybierz zakładkę Członkowie. 2. Aby dodać nowych członków do grupy, kliknij Dodaj (patrz rysunek 15.12).

390 CZĘŚĆ III Active Directory

RYSUNEK 15.11. Tworzenie nowej grupy

RYSUNEK 15.12. Zarządzanie członkostwem w grupie

ROZDZIAŁ 15. Konfigurowanie Active Directory 391 3. W kolejnym oknie dialogowym wpisz w polu tekstowym nazwy użytkowników

(lub innych obiektów). Kliknij przycisk Sprawdź nazwy, aby wyszukać i skojarzyć użytkowników. Aby ograniczyć obszar wyszukiwania, kliknij przycisk Lokalizacje i wybierz lokalizacje do przeszukania. 4. Kliknij przycisk Zaawansowane, aby wyszukać użytkowników.

W kolejnym oknie dialogowym możesz kliknąć przycisk Kolumny, aby ustawić właściwości. Teraz kliknij Znajdź teraz, aby rozpocząć wyszukiwanie. W liście poniżej pola Znajdź teraz znajdują się wyniki wyszukiwania, co pozwala wybrać właściwego użytkownika. 5. Po wprowadzeniu użytkowników (lub innych obiektów) kliknij przycisk OK, co spowoduje

dodanie ich do grupy. Kliknij OK, aby zamknąć okno właściwości. W ten sam sposób można użyć zakładki Członek grupy w celu określenia członkostwa w grupach. Komputer Komputery dołączane do domeny również mają swoje wpisy w Active Directory pozwalające na ich identyfikację przez inne komputery oraz użytkowników. Aby dodać komputer do domeny, wykonaj następującą procedurę: 1. Na komputerze, który chcesz dołączyć, otwórz Panel sterowania poprzez menu Start. 2. W panelu sterowania wybierz System i zabezpieczenia, a następnie System. Otwarte zostanie

okno właściwości systemu. 3. Kliknij łącze Zmień ustawienia, pokazane na rysunku 15.13. 4. Na zakładce Nazwa komputera kliknij przycisk Zmień. 5. W oknie dialogowym wybierz opcję Członkostwo, Domena i wpisz w polu tekstowym nazwę

domeny. Kliknij OK, aby potwierdzić. 6. W kolejnym oknie dialogowym powinieneś podać hasło i nazwę użytkownika z domeny,

do której się dołączasz (zwykle administratora domeny). Na ekranie powinien pojawić się komunikat informujący o udanym dołączeniu do domeny. 7. Aby zastosować zmiany, uruchom ponownie komputer.

W czasie tej operacji w kontenerze Komputery w Active Directory tworzony jest obiekt dla komputera. W przystawce MMC możesz przeciągnąć ten obiekt do innego kontenera.

Konfigurowanie usług certyfikatów w Active Directory Przy użyciu usług certyfikatów w Active Directory (AD CS) możesz uruchomić własny urząd certyfikacji, za pomocą którego będziesz wydawał certyfikaty. Certyfikaty są używane do skojarzenia użytkowników, usług lub komputerów z parą kluczy kryptograficznych, używanych do szyfrowania połączeń HTTP lub Lightweight Directory Access Protocol (LDAP). Certyfikaty są również używane do identyfikowania i uwierzytelniania partnera komunikacyjnego (zwykle serwera).

392 CZĘŚĆ III Active Directory

RYSUNEK 15.13. Dołączanie domeny z panelu sterowania

Możemy uzyskać certyfikat od zewnętrznego dostawcy lub uruchomić własny urząd certyfikacji korzystający z AD CS. W środowisku programistycznym najlepszym rozwiązaniem jest uruchomienie własnego urzędu certyfikacji. Instalacja tego urzędu jest opisana poniżej. W przypadku środowiska produkcyjnego powinieneś rozważyć zalety i wady uruchamiania własnego urzędu certyfikacji oraz upewnić się, że masz wystarczającą wiedzę na temat infrastruktury klucza publicznego (PKI), aby można było uruchomić ją w Twojej organizacji. Aby zainstalować AD CS, wykonaj następujące operacje: 1. Uruchom program Menedżer serwera, a następnie z menu Akcja wybierz Role/Dodaj role.

Zostanie uruchomiony kreator dodawania ról.

ROZDZIAŁ 15. Konfigurowanie Active Directory 393 2. Na stronie Role serwera wybierz opcję Usługi certyfikatów w usłudze Active Directory. OSTRZEŻENIE Pamiętaj, że po zakończeniu instalacji nie można zmienić nazwy ani ustawień domeny komputera. Z tego powodu powinieneś instalować usługi certyfikatów na pojedynczym komputerze, który ma już skonfigurowane wymagane ustawienia.

3. Na stronie Usługi ról wybierz opcję Urząd certyfikacji.

Choć opcja Rejestrowanie w sieci Web dla urzędu certyfikacji zapewnia wygodny interfejs użytkownika, wymaga on jednak zainstalowania serwera IIS. W książce tej zakładam, że na komputerze z urzędem certyfikacji nie będzie zainstalowany serwer IIS, więc nie zaznaczaj opcji Rejestrowanie w sieci Web dla urzędu certyfikacji. 4. Na stronie Typ instalacji można wybrać Autonomiczna lub Przedsiębiorstwo.

Jeżeli głównie będziesz wydawać certyfikaty dla użytkowników we własnej domenie, powinieneś użyć opcji Przedsiębiorstwo. W takim przypadku wymaganym dowodem tożsamości mogą być dane identyfikacyjne użytkownika, co uprości proces wydawania certyfikatów. Na potrzeby tej książki powinieneś wybrać opcję Przedsiębiorstwo. 5. Na stronie Typ urzędu certyfikacji wybierz Główny urząd certyfikacji. 6. Jeżeli nie masz przygotowanej wcześniej pary kluczy, wybierz opcję Utwórz nowy klucz

prywatny. 7. Ustaw parametry kryptograficzne dla pary kluczy oraz certyfikatu (patrz rysunek 15.14).

Powinieneś użyć standardowych ustawień (RSA, 2048 bit, algorytm skrótu SHA-1). UWAGA Algorytmy alternatywne — krzywych eliptycznych (kryptografia oparta na krzywej eliptycznej, ECC) lub SHA-256/SHA-512 — oferują lepszą wydajność i bezpieczeństwo, ale nie są tak powszechnie wykorzystywane, co może później powodować problemy ze współpracą. Jeżeli znasz zastosowania certyfikatu, możesz użyć alternatywnych ustawień. Poziom bezpieczeństwa zapewniany przez 2048-bitowy algorytm RSA wraz z SHA-1 jest wystarczający do wystawiania certyfikatów. 8. Nadaj nazwę urzędowi certyfikacji.

Nazwa powinna być opisowa i może zawierać spacje oraz inne znaki. Zakończenie powinno być zgodne z kontekstem nazwy domeny. W książce tej używana jest pełna nazwa CN=my-CA,DC=xmp,DC=site. 9. Wybierz okres ważności certyfikatu głównego, a następnie kliknij Dalej (po wygaśnięciu

głównego certyfikatu musisz wydać nowy certyfikat główny). 10. Na stronie Baza danych certyfikatów możesz określić lokalizację bazy danych certyfikatów

oraz plików dziennika. Kliknij Dalej, aby potwierdzić. 11. Przed rozpoczęciem instalacji wybrana konfiguracja zostaje ponownie wyświetlona, jak jest

to pokazane na rysunku 15.15.

394 CZĘŚĆ III Active Directory

RYSUNEK 15.14. Ustawianie parametrów kryptograficznych

RYSUNEK 15.15. Przegląd konfiguracji przed instalacją usług certyfikatów

ROZDZIAŁ 15. Konfigurowanie Active Directory 395

Kliknij przycisk Zainstaluj, aby rozpocząć instalację. 12. Po zakończeniu instalowania kliknij Zakończ, aby zakończyć pracę kreatora.

Usługi AD CS są zainstalowane. Aby sprawdzić, czy główny certyfikat z urzędu certyfikacji jest opublikowany w Active Directory, wykonaj poniższe polecenie w wierszu polecenia: certutil -viewstore "ldap:///CN=my-CA,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=xmp,DC=site?cACertificate?base?objectClass= certificationAuthority"

Zamień CN=my-CA and DC=xmp,DC=site na nazwę swojego urzędu certyfikacji.

Operacje na certyfikatach Podobnie jak w przypadku usług katalogowych, również dla urzędów certyfikacji można tworzyć hierarchie. Główny urząd certyfikacji potwierdza tożsamość podrzędnych urzędów, które z kolei potwierdzają tożsamość usługi lub użytkownika. Tożsamość jest potwierdzana na podstawie certyfikatu. Z tego powodu w każdej operacji sprawdzania tożsamości są wykorzystywane co najmniej dwa certyfikaty: certyfikat użytkownika lub usługi oraz certyfikat głównego urzędu certyfikacji, który pozwala upewnić się, że certyfikat użytkownika został wydany przez prawidłowy (znany lub zaufany) urząd certyfikacji. W kolejnym punkcie pokażę, jak wydać certyfikat dla AD DS oraz jak wyeksportować główny certyfikat urzędu certyfikacji (na przykład w celu skonfigurowania znanego oraz zaufanego głównego certyfikatu) w aplikacji PHP.

Wystawianie certyfikatu dla Active Directory Jeżeli chcesz utworzyć szyfrowane połączenie LDAP z Active Directory (na przykład w celu zmiany hasła), potrzebny jest certyfikat AD DS. Wystawianie certyfikatu Przy użyciu konsoli MMC możesz szybko wystawić certyfikat Active Directory oraz go zaimportować. W poniższym opisie zakładam, że kontroler domeny oraz usługi certyfikatów są uruchomione na tym samym komputerze. W przeciwnym razie musisz zmienić sposób wyboru połączenia. Aby wystawić certyfikat dla AD DS, wykonaj następujące operacje: 1. W konsoli MMC otwórz menu Plik, wybierz Dodaj/Usuń przystawkę, następnie Dodaj

i wybierz przystawkę Certyfikaty. 2. W oknie dialogowym wybierz opcję Konto komputera i kliknij Dalej. 3. Wybierz opcję Komputer lokalny, kliknij Zakończ, a następnie OK.

396 CZĘŚĆ III Active Directory 4. W panelu nawigacyjnym konsoli wybierz węzeł Certyfikaty (komputer lokalny), a następnie

z menu kontekstowego wybierz Wszystkie zadania/Automatycznie rejestruj i pobieraj certyfikaty. 5. Na stronie informacyjnej okna rejestracji certyfikatu kliknij Dalej. Na stronie Żądaj

certyfikatów wybierz opcję Kontroler domeny. Jeżeli zasady wydawania dla kontrolera domeny nie są dostępne, zaznacz pole wyboru Pokaż wszystkie szablony, a następnie zaznacz szablon kontrolera domeny. 6. Kliknij Wystaw, aby utworzyć certyfikat i zainstalować go na komputerze.

Nie ma potrzeby wykonywać innych operacji, takich jak uwierzytelnianie czy dostarczanie dowodu tożsamości, ponieważ urząd certyfikacji ma typ Przedsiębiorstwo, przez co uwierzytelnianie jest realizowane automatycznie. 7. Kliknij Zakończ, aby zamknąć okno dialogowe. UWAGA W programie Menedżer serwera, na stronie Role/Usługi domenowe w usłudze Active Directory, powinno pojawić się zdarzenie (z poziomem Informacja) potwierdzające dostępność zaszyfrowanego połączenia w postaci komunikatu Protokół LDAP poprzez protokół SSL jest teraz dostępny.

Sprawdzanie szyfrowanego dostępu do LDAP Aby sprawdzić, czy działa szyfrowany dostęp do LDAP, możesz skorzystać z aplikacji ldp, którą przedstawię szerzej w rozdziale 16. 1. W menu Start, w polu Wyszukaj programy i pliki, wpisz LDP i naciśnij Enter. 2. Wybierz Połącz z menu Połączenia. Wprowadź localhost w polu Serwer, a następnie kliknij OK. 3. W menu Połączenia kliknij Powiąż, a następnie zaznacz pole Szyfruj ruch po powiązaniu

(patrz rysunek 15.16). Kliknij OK, a następnie sprawdź, czy została włączona opcja szyfrowania, tak jak jest to pokazane poniżej: 0 = ldap_set_option(ld, LDAP_OPT_ENCRYPT, 1) res = ldap_bind_s(ld, NULL, &NtAuthIdentity, NEGOTIATE (1158)); // v.3 {NtAuthIdentity: User='NULL'; Pwd=; domain = 'NULL'} Authenticated as: 'XMP\Administrator'.

RYSUNEK 15.16. Szyfrowanie połączenia z użyciem lpd

ROZDZIAŁ 15. Konfigurowanie Active Directory 397 UWAGA Preferowane jest szyfrowanie ruchu przez powiązanie (protokół LDAP, element Start TLS) zamiast używania ogólnego połączenia SSL (na porcie 636 zamiast 389).

Eksportowanie certyfikatu głównego Główny certyfikat urzędu certyfikacji jako certyfikat zaufany jest automatycznie dystrybuowany do wszystkich komputerów w domenie poprzez Active Directory. Z tego powodu można wykonać poniższe operacje na każdym komputerze w domenie. Aby wyeksportować główny certyfikat urzędu certyfikacji, wykonaj następujące kroki: 1. W konsoli MMC otwórz menu Plik, wybierz Dodaj/Usuń przystawkę i dodaj przystawkę

Certyfikaty. 2. W oknie dialogowym wybierz opcję Konto komputera i kliknij opcję Komputer lokalny. 3. W katalogu głównym konsoli wybierz kolejno Certyfikaty, Zaufane główne urzędy

certyfikacji, Certyfikaty. W liście certyfikatów kliknij swój urząd certyfikacji prawym przyciskiem myszy, a następnie wybierz z menu kontekstowego Wszystkie zadania, Eksportuj (patrz rysunek 15.17).

RYSUNEK 15.17. Eksportowanie głównego certyfikatu z własnego urzędu certyfikacji

4. W kreatorze eksportu certyfikatów wybierz format Certyfikat X.509 szyfrowany algorytmem

Base-64 (.CER). 5. Wybierz lokalizację, a następnie kliknij Zakończ, aby wyeksportować certyfikat.

398 CZĘŚĆ III Active Directory

Główny certyfikat urzędu certyfikacji został wyeksportowany. Będzie on potrzebny między innymi do skonfigurowania rozszerzenia PHP LDAP (patrz rozdział 16.) oraz do dostępu do usług WWW serwera Exchange, jeżeli do połączeń szyfrowanych będzie używany certyfikat wystawiony przez Twój AD CS.

Eksportowanie innych certyfikatów Aby wyeksportować certyfikaty innych usług, wykonaj te same operacje co w przypadku eksportu głównego certyfikatu. Jednak w konsoli wybierz Osobisty/Certyfikaty zamiast Zaufane główne urzędy certyfikacji, a następnie kliknij prawym przyciskiem myszy wybrany certyfikat. Wybierz Wszystkie zadania/Eksportuj z menu kontekstowego, co pozwala wyeksportować certyfikat. Jeżeli nie możesz znaleźć właściwego certyfikatu, wyeksportuj go bezpośrednio z urzędu certyfikacji, wykonując następujące operacje: 1. Uruchom interfejs zarządzający, klikając Start/Narzędzia administracyjne/Urząd certyfikacji. 2. Przejdź do Urząd certyfikacji//Wystawione certyfikaty. 3. Kliknij dwukrotnie interesujący Cię certyfikat. 4. W oknie dialogowym Certyfikat wybierz zakładkę Szczegóły. 5. Kliknij Kopiuj do pliku, aby uruchomić kreatora eksportu certyfikatów. 6. Wybierz format Certyfikat X.509 szyfrowany algorytmem Base-64 (.CER). 7. Wybierz lokalizację, a następnie kliknij Zakończ, aby wyeksportować certyfikat.

Operacja eksportu jest zakończona i możesz użyć pliku certyfikatu.

Podsumowanie Active Directory jest ważnym elementem infrastruktury IT przedsiębiorstw. Usługa ta pozwala na scentralizowanie zarządzania użytkownikami, grupami i komputerami, jak również delegowanie zadań administracyjnych oraz tworzenie drzew domen. Dzięki precyzyjnemu modelowi uprawnień, dziedziczeniu hierarchicznemu zasad grupy oraz funkcjom zarządzania tożsamością Active Directory jest ważnym elementem budulcowym strategii bezpieczeństwa w organizacji. Ten krótki przegląd najważniejszych typów obiektów w Active Directory oraz sposobów tworzenia tych obiektów pozwolił przekazać niezbędne informacje na temat struktury katalogu. W następnym rozdziale przedstawię bardziej szczegółowo interfejs LDAP pozwalający na dostęp do Active Directory.

Rozdział 16.

Podstawy LDAP W tym rozdziale: Podstawy LDAP .................................................................................................................400 Klasy i dziedziczenie ..........................................................................................................402 Narzędzia ...........................................................................................................................403 Konfigurowanie rozszerzenia LDAP dla PHP ....................................................................408 Uwierzytelnianie użytkowników .......................................................................................413 Wyszukiwanie obiektów ...................................................................................................414 Podsumowanie ..................................................................................................................421

Istnieją dwa sposoby na użycie Microsoft Active Directory w PHP: Active Directory Service Interface (ADSI) oraz Lightweight Directory Access Protocol (LDAP). ADSI jest interfejsem zdefiniowanym przez Microsoft, który pomimo swojej nazwy może być używany nie tylko w Active Directory, ale również w innych usługach katalogowych. Protokół ADSI jest kontrolowany w PHP przez obiekty Component Object Model (COM). LDAP z kolei jest najczęściej wykorzystywanym i niezależnym od platformy interfejsem dla usług katalogowych. LDAP pozwala na współpracę pomiędzy programami, platformami oraz usługami katalogowymi. W tej książce korzystam z Active Directory poprzez LDAP, ponieważ LDAP jest powszechnie dostępny i może być łatwo zastosowany. Struktura katalogów LDAP jest szczegółowo wyjaśniona w kolejnych punktach. Opisana struktura odnosi się do obiektów w domenie lub obiektów w lesie zgodnych ze schematem LDAP. Wraz z usługami katalogowymi Active Directory (AD DS) zainstalowane zostały dwa narzędzia, które przedstawię dokładniej, ponieważ są użyteczne przy tworzeniu programów PHP korzystających z LDAP.

400 CZĘŚĆ III Active Directory

Podstawy LDAP LDAP jest protokołem wyszukiwania i zapisywania obiektów w usługach katalogowych. Wywodzi się z rodziny protokołów X.500, opracowanych przez organizację International Telecommunication Union (ITU) w latach osiemdziesiątych ubiegłego stulecia. LDAP powstał jako lekki, alternatywny protokół bazujący na TCP/IP, pozwalający na dostęp do danych katalogowych. Od tego czasu LDAP stał się standardowym protokołem dostępu do usług katalogowych.

Struktura hierarchiczna Katalog LDAP składa się z hierarchicznie posortowanych obiektów tworzących strukturę drzewiastą. Każda pozycja posiada nazwę wyróżniającą (DN) i składa się z nazwanych atrybutów posiadających jedną lub więcej wartości. DN zawiera część lokalną (względna nazwa wyróżniająca — RDN) oraz część z obiektu nadrzędnego (podobnie jak pełna ścieżka pliku). Na rysunku 16.1 pokazana jest część drzewa LDAP w Active Directory. Obok obiektów zamieszczony jest atrybut będący częścią RDN. Na przykład RDN dla obiektu Tomek ma wartość CN=Tomek Królik. Nazwa DN zawiera wszystkie nazwy RDN z wcześniejszych obiektów: CN=Tomek Królik,CN=Users,DC=xmp,DC=site.

RYSUNEK 16.1. Drzewo LDAP z nazwami RDN obiektów

Na listingu 16.1 przedstawione są atrybuty obiektu o nazwie DN CN=WEBSRV,CN=Computers, ´DC=xmp,DC=site, opisującego komputer w domenie Active Directory. Zwróć uwagę, że niektóre atrybuty, takie jak objectClass czy servicePrincipalName, mają kilka wartości. LISTING 16.1. Wybrane atrybuty obiektu z Active Directory dla komputera websrv.xmp.site Dn: CN=WEBSRV,CN=Computers,DC=xmp,DC=site; cn: WEBSRV; dNSHostName: WEBSRV.xmp.site; objectCategory: CN=Computer,CN=Schema,CN=Configuration,DC=xmp,DC=site; objectClass (5): top; person; organizationalPerson; user; computer; operatingSystem: Windows Server 2008 R2 Enterprise;

ROZDZIAŁ 16. Podstawy LDAP 401 operatingSystemVersion: 6.1 (7600); primaryGroupID: 515 = ( GROUP_RID_COMPUTERS ); servicePrincipalName (11): MSSQLSvc/WEBSRV.xmp.site:1433; MSSQLSvc/WEBSRV.xmp.site; WSMAN/WEBSRV; WSMAN/WEBSRV.xmp.site; HTTP/auth.phpdemo.site; TERMSRV/WEBSRV; TERMSRV/ WEBSRV.xmp.site; RestrictedKrbHost/WEBSRV; HOST/WEBSRV; RestrictedKrbHost/WEBSRV.xmp. site; HOST/WEBSRV.xmp.site; userAccountControl: 0x1000 = ( WORKSTATION_TRUST_ACCOUNT ); whenChanged: 7/13/2011 8:39:42 AM W. Europe Daylight Time; whenCreated: 6/4/2011 10:07:55 PM W. Europe Daylight Time;

W Active Directory zdefiniowano kilka zasad struktury pozwalających na zapewnienie spójności katalogu. Obiekty mogą mieć zdefiniowane wyłącznie typy obiektów nadrzędnych, na przykład konta użytkowników nie mogą znajdować się w danych programu (CN=program data).

Klasy i dziedziczenie LDAP nie tylko pozwala na hierarchiczne sortowanie obiektów, ale również definiuje, jakiego typu obiekty są dozwolone w katalogu, jakie są atrybuty tych obiektów oraz jakie są dozwolone wartości tych atrybutów. Typy obiektów są nazywane klasami. Klasy mogą po sobie dziedziczyć, rozszerzając w ten sposób definicje. Na rysunku 16.2 pokazana jest część hierarchii klas w Active Directory. Początkiem hierarchii jest zawsze podstawowa definicja. Klasa ta definiuje cztery atrybuty wymagane przez każdy obiekt oraz ponad 100 atrybutów opcjonalnych. Każda klasa rozszerza poprzednią klasę o kolejne obowiązkowe i opcjonalne atrybuty. Tym sposobem w obiekcie komputera zostało zdefiniowanych ponad 370 atrybutów.

RYSUNEK 16.2. Część hierarchii klas w Active Directory

402 CZĘŚĆ III Active Directory

Elementy protokołu Podobnie jak HTTP, również protokół LDAP składa się z serii żądań i odpowiedzi. Klient LDAP tworzy połączenie z serwerem i uwierzytelnia się (klient jest również nazywany agentem systemu katalogów lub DSA). Następnie wysyłane jest jedno lub więcej żądań. Jednak nie jest konieczne oczekiwanie na odpowiedź przed wysłaniem kolejnych żądań. Serwer może odpowiedzieć na żądania w losowej kolejności, ponieważ każde żądanie może być przetworzone w innym czasie. Serwer może również wysyłać komunikaty bez żądań, na przykład w przypadku zamknięcia połączenia z powodu przekroczenia czasu bezczynności. LDAP zapewnia operacje wyszukiwania i zmiany obiektów oraz atrybutów. Operacje te wymieniono w tabeli 16.1. Rozszerzenie LDAP dla PHP posiada osobną funkcję dla każdej z tych operacji. TABELA 16.1. Operacje LDAP

Operacja LDAP

Opis

abandon

Anuluje poprzednią operację.

add, delete, modify

Dodaje, usuwa lub zmienia obiekt.

bind

Uwierzytelnia klienta (w tym momencie połączenie jest już otwarte).

compare

Sprawdza, czy obiekt posiada atrybut o podanej wartości.

extended operation

Ogólna metoda do definiowania kolejnych operacji.

modify DN

Zmienia DN, przenosząc w ten sposób obiekt w drzewie.

search

Wyszukuje obiekty i zwraca wyniki.

start TLS

Szyfruje połączenie z użyciem LDAP w wersji 3.

unbind

Zamyka połączenie.

Narzędzia Active Directory zawiera kilka narzędzi, za pomocą których można bezpośrednio uzyskać dostęp do danych katalogu. Dwa z nich to LDP oraz Edytor ADSI. LDP świetnie nadaje się do testowania zapytań LDAP, natomiast Edytor ADSI jest przyjaznym dla użytkownika edytorem danych zapisanych w Active Directory. Te dodatkowe narzędzia możesz znaleźć w Menedżerze serwera, klikając Role/Usługi domenowe w usłudze Active Directory. Zarówno LDP, jak i Edytor ADSI są instalowane wraz z usługami AD DS, dlatego są dostępne wyłącznie na kontrolerze domeny. Aby użyć tych programów na innych komputerach, musisz zainstalować je w następujący sposób: „

Windows Server 2008 R2. Uruchom Menedżer serwera, wybierz Funkcje/Dodaj funkcje, a następnie Narzędzia administracji zdalnej serwera/Narzędzia do administrowania rolami/ AD DS oraz Narzędzia usług LDS w usłudze AD.

ROZDZIAŁ 16. Podstawy LDAP 403 „

Windows 7. Zainstaluj narzędzia administracji zdalnej serwera dla Windows 7. Narzędzia te oraz instrukcja instalacji są dostępne na witrynie firmy Microsoft pod adresem http://www. microsoft.com/downloads/pl-pl/details.aspx?familyid=7d2f6ad7-656b-4313-a005-4e344e43997d. OSTRZEŻENIE Oba programy operują bezpośrednio na danych w Active Directory. Jeżeli masz

odpowiednie uprawnienia, wszystkie zmiany są wykonywane bezpośrednio i natychmiast, nawet jeżeli zmieniasz obiekty krytyczne dla działania systemu. Nie występuje tu funkcja Cofnij. Dlatego należy wykonywać operacje rozważnie.

LDP LDP jest w zasadzie przeglądarką LDAP, choć posiada również funkcje edycji obiektów i zarządzania uprawnieniami dostępu do obiektów LDAP. Za pomocą LDP można wykonywać pojedyncze operacje (zapytania lub zmiany atrybutów) na tym samym poziomie technicznym co w programie PHP. Z tego powodu LDP jest bardzo użytecznym narzędziem programistycznym. Wykorzystanie LDP Aby użyć programu LDP, wykonaj następującą procedurę: 1. Aby uruchomić LDP, w menu Start wpisz LDP w polu Wyszukaj programy i pliki i naciśnij

Enter. 2. Wybierz Połącz z menu Połączenia. W polu Serwer wpisz nazwę serwera, a następnie kliknij OK. Wpisz localhost, aby podłączyć się do lokalnego serwera. 3. Wybierz Połącz z menu Połączenia. Możesz użyć opcji Powiąż jako obecnie zalogowany

użytkownik lub wskazać innego użytkownika. Kliknij OK, aby potwierdzić. W oknie wyników powinieneś zobaczyć komunikat Uwierzytelniony jako . UWAGA Jeżeli połączenie lub logowanie z punktu 3. nie powiedzie się, spróbuj użyć połączenia bez szyfrowania (usuń zaznaczenie opcji Szyfruj ruch po powiązaniu). Jeżeli podłączasz się do Active Directory z innego komputera, upewnij się, że aktywne jest połączenie sieciowe z serwerem Active Directory i port 389 nie jest blokowany przez zaporę. Dodatkowo w programie Menedżer serwera sprawdź, czy usługi AD DS są uruchomione i działają bez problemów. 4. Aby użyć drzewa nawigacji, kliknij Drzewo w menu Widok.

W oknie dialogowym podaj podstawowy DN dla domeny (na przykład DC=xmp,DC=site) lub inny znany DN. Można również wybrać DN z listy rozwijanej lub pozostawić pole puste. 5. Po kliknięciu OK w lewym panelu zostanie wyświetlone drzewo nawigacji (patrz rysunek 16.3).

Kliknij dwukrotnie obiekt, aby otworzyć obiekty podrzędne. Obiekt można również kliknąć dwukrotnie w celu wyświetlenia atrybutów.

404 CZĘŚĆ III Active Directory

RYSUNEK 16.3. Drzewo nawigacji LDP wyświetlone w lewym panelu oraz komunikaty wyników wyświetlone w prawym panelu

Wyszukiwanie za pomocą LDP Aby uruchomić wyszukiwanie LDAP, w menu Przeglądaj kliknij Wyszukaj. W oknie dialogowym możesz podać następujące ustawienia (patrz rysunek 16.4): „

Podstawowe DN — pierwszy obiekt, od którego zaczyna się przeszukiwanie katalogu.

„

Filtr — filtr LDAP do wyszukiwania obiektów (patrz punkt „Filtry LDAP” w dalszej części rozdziału).

„

Obszar — wybierz opcję Poddrzewo, aby przeszukać wszystkie obiekty podrzędne względem bieżącego. Wybierz Jeden poziom, aby przeszukać tylko bezpośrednich potomków obiektu podstawowego. Wybierz Baza, aby przeszukać tylko obiekt podstawowy.

„

Atrybuty — podaj oczekiwane atrybuty. Jeżeli wpiszesz * (gwiazdka), wyświetlone zostaną wszystkie atrybuty.

RYSUNEK 16.4. Okno wyszukiwania LDP

ROZDZIAŁ 16. Podstawy LDAP 405

Kliknij Uruchom, aby rozpocząć wyszukiwanie. W prawym panelu okna LDP znajdują się komunikaty statusu oraz wyniki. Zmiana danych za pomocą LDP Menu Przeglądaj zawiera również polecenia pozwalające na zmianę obiektów i atrybutów: „

Dodaj element podrzędny — tworzy nowy obiekt.

„

Usuń — usuwa obiekt.

„

Modyfikuj — dodaje, usuwa lub zmienia pojedynczy atrybut obiektu.

„

Modyfikuj DN — zmienia DN obiektu i przenosi obiekt w drzewie katalogu.

Dla wszystkich poleceń musisz wprowadzić nazwę DN obiektu, który chcesz modyfikować. Jednak modyfikowanie jest znacznie prostsze w programie Edytor ADSI. Program LDP może być przydatny do wyszukiwania błędów, ponieważ korzysta on z interfejsu LDAP w taki sam sposób jak PHP i w czasie operacji wiązania można wybrać użytkownika. UWAGA Active Directory pozwala na zmiany wykonywane za pomocą LDAP wyłącznie w przypadku korzystania z połączenia szyfrowanego.

Edytor ADSI Edytor ADSI jest przystawką dla programu Microsoft Management Console (MMC). Edytora tego można używać do zmiany, dodawania i usuwania obiektów w Active Directory. Podobnie jak LDP Edytor ADSI zapewnia natychmiastowy dostęp do modelu danych wykorzystywanego przez Active Directory. Użycie edytora ADSI Aby użyć programu Edytor ADSI, wykonaj następujące operacje: 1. Aby uruchomić edytor, w menu Start wpisz Edytor ADSI w polu Wyszukaj programy i pliki

i naciśnij Enter. Możesz również dodać edytor do MMC, klikając Plik, a następnie Dodaj/Usuń przystawkę. 2. W panelu menu Akcja kliknij Połącz z.

Zostanie otwarte okno dialogowe Ustawienia połączenia, jak jest to pokazane na rysunku 16.5. W oknie tym można ustawić parametry połączenia. Kliknij przycisk Zaawansowane, aby zalogować się jako inny użytkownik. Możesz również podać DN lub wybrać jeden z predefiniowanych kontekstów nazewnictwa. Zazwyczaj powinieneś użyć domyślnego kontekstu nazewnictwa. Kliknij OK, aby potwierdzić.

406 CZĘŚĆ III Active Directory

RYSUNEK 16.5. Ustawienia połączenia programu Edytor ADSI

3. W lewym panelu nawigacyjnym możesz przeglądać drzewo katalogu (patrz rysunek 16.6).

Po prostu zaznacz obiekt, aby wyświetlić jego obiekty podrzędne w panelu listy znajdującej się na środku ekranu.

RYSUNEK 16.6. Przeglądanie drzewa katalogów w edytorze ADSI

ROZDZIAŁ 16. Podstawy LDAP 407 4. Aby sprawdzić atrybuty obiektu, kliknij go prawym przyciskiem myszy, a następnie wybierz

Właściwości z menu kontekstowego. Powoduje to otwarcie okna dialogowego z listą atrybutów. 5. Aby zmodyfikować atrybut, kliknij go dwukrotnie (lub zaznacz, a następnie kliknij Edytuj).

W kolejnym oknie dialogowym możesz zmienić wartość lub kliknąć przycisk Wyczyść, aby usunąć atrybut. 6. Aby dodać nowy atrybut do obiektu, kliknij Filtr w oknie właściwości, a następnie usuń

zaznaczenie opcji Pokaż tylko atrybuty, które mają wartości. Po tej operacji listing będzie zawierał wszystkie możliwe atrybuty obiektu. Teraz można kliknąć Edytuj i ustawić wartość atrybutu. 7. Na zakładce Zabezpieczenia możesz zmienić uprawnienia dostępu do obiektu Active

Directory. Uprawnienia dostępu odnoszą się do obiektu Active Directory, a nie do obiektu, który on opisuje (na przykład grupy lub komputera). Tworzenie nowych obiektów Aby utworzyć nowy obiekt, wykonaj następujące operacje: 1. Kliknij obiekt nadrzędny prawym przyciskiem myszy, a następnie wybierz Nowy/Obiekt

z menu kontekstowego. 2. W oknie dialogowym wybierz właściwą klasę obiektu. 3. Na kolejnych stronach podaj wartości obowiązkowych pól obiektu, takich jak nazwa (CN). 4. Na ostatniej stronie kliknij przycisk Więcej atrybutów, pozwalający na zdefiniowanie

większej liczby atrybutów. 5. Kliknij Zakończ, aby zapisać obiekt w Active Directory.

Menu Akcja oraz menu kontekstowe dla obiektu zawierają więcej funkcji edycyjnych, przedstawionych poniżej: „

Przenieś — przenosi obiekt do innej lokalizacji w strukturze katalogów.

„

Zmień nazwę — zmienia RDN obiektu.

„

Usuń — usuwa obiekt wraz z obiektami podrzędnymi.

Konfigurowanie rozszerzenia LDAP dla PHP PHP posiada rozszerzenie dla LDAP, dzięki któremu możesz korzystać z katalogów zgodnych z LDAP. Rozszerzenie to obsługuje wszystkie operacje protokołu LDAP.

408 CZĘŚĆ III Active Directory

Aktywowanie rozszerzenia LDAP Rozszerzenie LDAP jest prekompilowane, ale nie jest zintegrowane. Aby aktywować rozszerzenie LDAP, wykonaj następujące operacje: 1. Otwórz w edytorze plik php.ini (domyślnie c:\PHP\php.ini). 2. Dodaj poniższy wiersz i zapisz plik: extension=php_ldap.dll

3. Uruchom ponownie odpowiednią pulę aplikacji w serwerze IIS, korzystając z programu appcmd w następujący sposób: appcmd recycle apppool "DefaultAppPool"

4. Wywołaj phpinfo.php w celu sprawdzenia konfiguracji.

Powinieneś zobaczyć sekcję ldap przedstawioną na rysunku 16.7.

RYSUNEK 16.7. Wynik działania rozszerzenia PGP LDAP w phpinfo()

Można również włączyć rozszerzenie PHP LDAP za pomocą aplikacji PHP Manager: 1. Uruchom program Menedżer IIS, a następnie w panelu Połączenia zaznacz serwer

lub witrynę. 2. Przejdź do aplikacji PHP Manager przez dwukrotne kliknięcie jej ikony. 3. Kliknij PHP Extensions, Enable Or Disable An Extension. 4. Wybierz php_ldap.dll z listy, a następnie w panelu Actions kliknij Enable.

PHP Manager automatycznie zrestartuje skojarzoną pulę aplikacji, więc rozszerzenie powinno być od razu dostępne.

ROZDZIAŁ 16. Podstawy LDAP 409

Proces komunikacji Aby zestawić połączenie z serwerem LDAP, wykonaj następujące operacje: „

zestaw połączenie za pomocą ldap_connect(),

„

ustaw opcjonalne parametry połączenia za pomocą ldap_set_option(),

„

wykonaj uwierzytelnianie za pomocą ldap_bind(),

„

wyślij odpowiednie operacje LDAP,

„

zamknij połączenie za pomocą ldap_unbind().

Funkcje ldap_* zwracają false w przypadku wystąpienia błędu i inną wartość, jeżeli polecenie zostało wykonane prawidłowo. UWAGA Jeżeli wystąpi błąd, funkcje ldap_* generują również ostrzeżenia. W środowisku produkcyjnym

powinieneś przekierować te ostrzeżenia do pliku dziennika (patrz rozdział 8. „Komunikaty o błędach i wyszukiwanie błędów”). W przeciwnym razie IIS może uniemożliwić wyświetlenie strony (w zależności od konfiguracji).

Aby można było zestawić i uwierzytelnić połączenie w przykładowej aplikacji, tworzona jest osobna klasa LDAPConnection, która realizuje standardowe operacje oraz obsługuje komunikaty błędów. OSTRZEŻENIE Ponieważ pliki binarne PHP dla Windows nie obsługują uwierzytelniania LDAP Simple

Authentication and Security Layer (SASL), nazwa użytkownika i hasło są przesyłane do Active Directory otwartym tekstem. Z powodów bezpieczeństwa nawet w bezpiecznej sieci hasła nie powinny być wysyłane otwartym tekstem. Dlatego zalecane jest szyfrowanie połączenia, co wyjaśniam w punkcie „Tworzenie połączenia szyfrowanego” w dalszej części rozdziału.

Skrypt pomocniczy Pomocniczy skrypt LDAPConnection.php zamieszczony na listingu 16.2 używany jest do otwierania i zamykania połączenia oraz zwracania komunikatów błędów. W klasie LDAPConnection zdefiniowane są następujące metody i właściwości: „

$handle — zasób połączenia LDAP.

„

connect()— tworzy połączenie z serwerem LDAP. Metoda ldap_connect() inicjuje zasób połączenia, ldap_set_option() ustawia protokół LDAP w wersji 3, a następnie ldap_bind() otwiera i uwierzytelnia połączenie. Jeżeli chcesz użyć bezpiecznego połączenia, zaszyfruj je za pomocą ldap_start_tls(). Jako nazwy użytkownika powinieneś użyć jego pełnej nazwy podstawowej.

„

close()— zamyka połączenie za pomocą ldap_unbind().

„

exitWithError()— zwraca kod błędu uzyskany za pomocą ldap_errno() oraz komunikat uzyskany za pomocą ldap_error(), a następnie zamyka połączenie.

410 CZĘŚĆ III Active Directory LISTING 16.2. Klasa LDAPConnection ułatwiająca tworzenie połączeń LDAP handle = ldap_connect($server); ldap_set_option($this->handle, LDAP_OPT_PROTOCOL_VERSION, 3); ldap_set_option($this->handle, LDAP_OPT_REFERRALS, 0); if ($secure) { if (!ldap_start_tls($this->handle)) { $this->exitWithError('TLS start failed'); } } if (!ldap bind($this->handle, $userName, $password)) { $this->exitWithError('Binding of LDAP connection failed'); } } /** * Zamyka połączenie z katalogiem LDAP. */ function close() { if ($this->handle) { ldap unbind($this->handle); $this->handle = null; } }

} ?>

/** * Kończy program, pokazuje komunikat błędu z katalogu LDAP * @param string $txt Opis błędu */ function exitWithError($txt) { $html = new HTMLPage('LDAP error'); $html->addElement('p', $txt); $table = array(array('Number', 'Message'), array(ldap_errno($this->handle), ldap_error($this->handle))); $html->addTable($table); $html->printPage(); $this->close(); exit; }

ROZDZIAŁ 16. Podstawy LDAP 411

Tworzenie połączenia szyfrowanego Aby użyć szyfrowanego połączenia z PHP do Active Directory, musisz skonfigurować rozszerzenie LDAP. W OpenLDAP (implementacja open source protokołu LDAP, wykorzystywana przez rozszerzenie PGP LDAP) konieczne jest zdefiniowanie głównego certyfikatu urzędu jako zaufanego. W poniższej instrukcji założyłem, że wystawiłeś już certyfikat dla Active Directory (patrz rozdział 15. „Konfigurowanie Active Directory”). Konfigurowanie PHP oraz OpenLDAP Aby certyfikat serwera LDAP był traktowany jako zaufany w przypadku OpenLDAP, biblioteki stanowiącej bazę dla rozszerzenia PHP LDAP, główny certyfikat jego urzędu certyfikacji musi być wskazany w konfiguracji OpenLDAP. W tym celu wykonaj następujące operacje: 1. Utwórz katalog c:\openldap\sysconf. 2. W tym katalogu umieść plik ldap.conf, zawierający następujący tekst: TLS_CACERT C:\openldap\sysconf\rootcertificate.cer TLS_REQCERT demand

3. Skopiuj główny certyfikat urzędu certyfikacji zapisany w formacie X.509 zakodowanym

algorytmem base-64 do katalogu c:\openldap\sysconf, nadając mu nazwę rootcertificate.cer. 4. Uruchom ponownie pulę aplikacji w IIS, skojarzoną z aplikacją LDAP.

Konfiguracja jest kompletna i można z niej korzystać. Teraz powinieneś przetestować połączenie. Testowanie szyfrowanego połączenia z LDAP Utwórz plik test_ldap_tls.php zamieszczony na listingu 16.3, a następnie wywołaj ten plik z wiersza poleceń lub IIS. Jeżeli zobaczysz komunikat o udanym połączeniu, będzie to oznaczało, że połączenie szyfrowane z użyciem elementu Start TLS działa prawidłowo. LISTING 16.3. test_ldap_tls.ph — testowanie szyfrowanego połączenia z LDAP connect('doco-exch.xmp.site', '[email protected]', 'confidential', true); // Do tego miejsca można dojść wyłącznie w przypadku prawidłowo działającego połączenia echo 'LDAP z START TLS działa prawidłowo.'; // Zamknięcie połączenia $ad->close(); ?>

412 CZĘŚĆ III Active Directory

Bezpieczne połączenie jest uruchamiane za pomocą funkcji PHP ldap_start_tls($ldapLink). Jeżeli certyfikat z Active Directory nie jest wystawiony przez zaufany urząd certyfikacji (główny certyfikat w c:\openldap\sysconf\), funkcja zwróci false. UWAGA Jeżeli w skrypcie włączysz debugowanie LDAP, komunikaty będą kierowane na stderr, ale nie będą przechwytywane w IIS, więc nie zostaną wyświetlone na stronie HTML. W takim przypadku powinieneś uruchomić PHP z wiersza poleceń.

Weryfikowanie certyfikatu połączenia Aby określić sposób działania PHP i OpenLDAP w przypadku, gdy certyfikat nie pasuje do szyfrowanego połączenia, użyj parametru TLS_REQCERT z pliku c:\openldap\sysconf\ldap.conf. Parametr ten może przyjmować następujące wartości: „

never — powoduje, że certyfikat nigdy nie jest pobierany z serwera.

„

allow — powoduje wysłanie żądania certyfikatu serwera. Nawet jeżeli serwer nie posiada

certyfikatu lub skojarzony główny certyfikat nie jest skonfigurowany, połączenie jest wznawiane. „

try — powoduje wysłanie żądania certyfikatu serwera. Nawet jeżeli serwer nie posiada

certyfikatu, połączenie jest wznawiane. Jeżeli serwer posiada certyfikat wydany przez nieznany urząd certyfikacji, połączenie jest przerywane. „

demand — powoduje wysłanie żądania serwera certyfikatu i połączenie jest wznawiane, wyłącznie jeżeli dostępny jest prawidłowy certyfikat.

Z powodów bezpieczeństwa powinieneś korzystać z opcji demand dla parametru TLS_REQCERT.

Uwierzytelnianie użytkowników Active Directory pełni ważną rolę przy uwierzytelnianiu użytkowników. Za pomocą metody uwierzytelniającej ldap_bind() możesz sprawdzać użytkowników i hasła. Jeżeli metoda ldap_bind() zakończy się prawidłowo, podana nazwa użytkownika i hasło są prawidłowe; w przypadku błędu uwierzytelnienie się nie powiodło. Jeżeli uwierzytelnienie się nie powiedzie, powinieneś sprawdzić kod błędu (49: Invalid credentials), ponieważ mógł wystąpić inny błąd połączenia LDAP. Na listingu 16.4 pokazany jest przykład funkcji authenticate(): gdy ldap_bind() zwróci false, sprawdzany jest kod 49 i zwracana jest odpowiednia wartość. LISTING 16.4. Uwierzytelnianie użytkowników za pomocą LDAP
ROZDZIAŁ 16. Podstawy LDAP 413 * Uwierzytelnianie użytkownika w Active Directory * @param string $server Nazwa serwera * @param string $username Nazwa użytkownika * @param string $password Hasło * @param boolean $secure Określa, czy połączenie jest szyfrowane * @return boolean True, jeżeli uwierzytelnienie udane; false, jeżeli nieudane * @throws LDAPConnectionException */ function authenticate($server, $username, $password, $secure=true) { $handle = ldap connect($server); if ($secure) { if (!ldap_start_tls($handle)) { throw new LDAPException('Błąd połączenia LDAP'); } } if (!ldap_bind($handle, $username, $password)) { $code = ldap_errno($handle); ldap unbind($handle); if ($code != 49) { throw new LDAPException('Błąd połączenia LDAP'); } return false; } ldap_unbind($handle); return true; }

WAŻNE Jeżeli jest to możliwe, połączenie powinno być szyfrowane za pomocą ldap_start_tls(); w przeciwnym razie nazwa użytkownika oraz hasło są wysyłane otwartym tekstem. Funkcje ldap_bind() oraz ldap_start_tls() generują ostrzeżenie, jeżeli wystąpi błąd. Z tego powodu w środowisku produkcyjnym komunikaty błędów powinny być przekierowane do pliku dziennika (zapoznaj się z opcjami konfiguracji PHP w rozdziale 8.).

Wyszukiwanie obiektów Podstawową funkcją katalogu LDAP jest zapewnienie wyszukiwania obiektów. PHP posiada różne funkcje do wyszukiwania i odpytywania obiektów. Funkcje te to: ldap_read(), ldap_list() oraz ldap_search(). Do funkcji tych przekazywane są trzy parametry: nazwa DN, ciąg z filtrem oraz kilka atrybutów. Różnica między nimi leży w sposobie korzystania z hierarchicznej struktury katalogu. „

ldap_read()— odczytuje wyłącznie obiekty identyfikowane przez DN.

„

ldap_list()— przeszukuje wszystkie bezpośrednie obiekty potomne obiektu

identyfikowanego przez DN. „

ldap_search()— przeszukuje całe drzewo (wszystkie obiekty podrzędne) obiektu

identyfikowanego przez DN wraz z tym obiektem.

414 CZĘŚĆ III Active Directory

Kryteria wyszukiwania są definiowane w postaci filtra. Jest to opisane dokładniej w punkcie „Filtry LDAP” w dalszej części rozdziału. Zawsze musisz podać filtr, ponieważ LDAP nie dopuszcza stosowania pustych filtrów. Lista atrybutów pozwala zdefiniować atrybuty zwracane w wyniku wyszukiwania. Z powodów wydajnościowych nie powinno się pobierać wszystkich atrybutów, a jedynie aktualnie wymagane.

Przykładowa aplikacja: wyszukiwanie użytkowników domeny Na listingu 16.5 pokazałem, w jaki sposób można wyszukiwać użytkowników Active Directory za pomocą LDAP. Na początek tworzone jest połączenie z Active Directory. Ponieważ wymagany jest wyłącznie dostęp do odczytu, możesz podać dowolnego użytkownika, ponieważ wszyscy użytkownicy domeny mają dostęp do odczytu obiektów z katalogu. WAŻNE Nazwę użytkownika należy podawać w formacie użytkownik@domena, jak jest to pokazane na listingu, ponieważ w przeciwnym razie uwierzytelnianie może się nie udać. LISTING 16.5. ldap_search_ad.php — wyszukiwanie użytkowników domeny connect('doco-exch.xmp.site', '[email protected]', 'confidential'); // Wyszukiwanie użytkowników $baseDN = "CN=users,DC=xmp,DC=site"; // Filtr wyszukuje obiekty użytkowników, korzystając z atrybutu userPrincipalName $filter = "(&(objectcategory=Person)(userPrincipalName=*))"; // Definicja atrybutów do pobrania $attributes = array('name', 'userPrincipalName', 'sAMAccountName'); // Rozpoczęcie wyszukiwania $qresult = ldap_search($ad->handle, $baseDN, $filter, $attributes); if (!$qresult) { $ad->exitWithError('Wyszukiwanie LDAP nieudane.'); } // Pobieranie obiektów ... $entries = ldap get entries($ad->handle, $qresult); if (!$entries) { $ad->exitWithError('Odczyt LDAP nieudany.'); } // ... i zapisanie tablicy $table = array(array('Name', 'Principal', 'DN', 'Account Name')); for ($i = 0; $i < $entries['count']; $i++) { $table[] = array($entries[$i]['name'][0], $entries[$i]['userprincipalname'][0], $entries[$i]['dn'], $entries[$i]['samaccountname'][0]); } $html->addTable($table);

ROZDZIAŁ 16. Podstawy LDAP 415 // Udostępnienie wyniku, zamknięcie połączenia ldap_free_result($qresult); $ad->close(); $html->printPage(); ?>

Obiekty użytkowników są zwykle umieszczane w obiekcie Users w domenie — na przykład: CN=Users,DC=xmp,DC=site. Zdefiniowany filtr pozwala na wyszukanie nowych użytkowników i nie zwraca użytkowników systemowych. W wyniku zwracane są wyłącznie atrybuty name, userPrinicpalName oraz sAMAccountName. W nazwach tych wielkość liter nie ma znaczenia. Po zakończeniu działania metody ldap_search() wynik jest odczytywany za pomocą ldap_get_entries(). Wymagane atrybuty mogą być pobrane w postaci tablicy asocjacyjnej, a nazwa DN obiektu może być zawsze odczytana z użyciem indeksu dn. Nazwy atrybutów w tablicy są zawsze zapisane małymi literami. OSTRZEŻENIE Obiekty mogą również zawierać atrybuty opcjonalne. Jeżeli obiekt nie posiada wartości takiego atrybutu, odpowiadający mu indeks w tablicy asocjacyjnej nie jest ustawiony. Ponieważ nie można zakładać istnienia atrybutu, powinieneś sprawdzać za pomocą funkcji isset() lub isempty(), czy tablica zawiera potrzebną wartość.

Ponieważ atrybuty mogą zawierać kilka wartości, ldap_get_entries() zwraca wartości jako tablice. Jeżeli wymagana jest pierwsza wartość, należy się do niej odwołać za pomocą indeksu [0]. Kolejnymi krokami w aplikacji jest zwolnienie zasobów wyniku wyszukiwania za pomocą ldap_free_result() i zamknięcie połączenia. Jawne zwalnianie pamięci nie jest obowiązkowe, ponieważ jest ona zwalniana po zakończeniu działania skryptu PHP. Jednak jeżeli skrypt jest uruchamiany kilkakrotnie i zwraca obszerne wyniki, powinieneś od czasu do czasu zwolnić pamięć. Na rysunku 16.8 pokazany jest wynik działania zapytania. Użytkownicy systemowi, tacy jak administratorzy i goście, nie są wyświetlani, ponieważ są wyłączeni przez filtr.

Filtry LDAP Wyszukiwanie w LDAP zawsze wymaga podania dwóch parametrów: pozycji w drzewie, gdzie należy zacząć wyszukiwanie, oraz wartości, jakie muszą mieć atrybuty. Definicja filtra LDAP bazuje na wartościach atrybutów oraz logice Boole’a do tworzenia wyrażeń. Filtr LDAP składa się z dwóch podstawowych bloków budulcowych: wyrażenia filtra oraz dołączonych wyrażeń filtrów. filtr := '(' { filtr [ ,...n ] | wyrażenie filtra } ')' wyrażenie filtra := { | ':' ':=' }

416 CZĘŚĆ III Active Directory

RYSUNEK 16.8. Wyszukiwanie użytkowników domeny w skrypcie ldap_search_ad.php

Operatory W tabeli 16.2 wymienione są operatory, komparatory oraz reguły porównania dla filtrów LDAP. Reguły porównania są definiowane za pomocą standaryzowanych identyfikatorów obiektów (OID). Jeżeli atrybut posiada kilka wartości, co najmniej jedna z nich musi spełniać zdefiniowane warunki. Zwróć uwagę, że nie wszystkie typy atrybutów obsługują wszystkie komparatory; na przykład można sprawdzać wyłącznie tożsamość atrybutu objectClass. TABELA 16.2. Operatory oraz komparatory filtrów LDAP

Typ

Wyrażenie

Opis

Operator

&

Operator AND: wszystkie wyrażenia filtra muszą spełniać zdefiniowane warunki.

|

Operator OR: jedno z wyrażeń filtra musi spełniać zdefiniowane warunki.

!

Operator NOT: wyrażenie filtra nie może spełniać zdefiniowanych warunków.

Komparator

Reguła porównania

=

Wartość atrybutu musi być równa podanej wartości.

~=

Wartość atrybutu musi być zbliżona do podanej wartości.

>=

Wartość atrybutu musi być większa lub równa podanej wartości.

<=

Wartość atrybutu musi być mniejsza lub równa podanej wartości.

= …*…

Gwiazdka zastępuje dowolny znak w podanej wartości i może być używana wyłącznie z operatorem równości.

1.2.840.113556.1.4.803

Bitowy operator AND: spełniony, jeżeli wszystkie ustawione bity podanej wartości są również ustawione w wartości atrybutu.

1.2.840.113556.1.4.804

Bitowy operator OR: spełniony, jeżeli co najmniej jeden ustawiony bit jest również ustawiony w wartości atrybutu.

1.2.840.113556.1.4.1941

Wyłącznie dla porównań atrybutów zawierających DN. Sprawdza nie tylko bieżący obiekt, ale również rekurencyjnie wszystkie skojarzone obiekty.

ROZDZIAŁ 16. Podstawy LDAP 417

Znaki specjalne (maski) Aby użyć specjalnych znaków dla wartości filtra, należy je zastąpić sekwencją specjalną. W tabeli 16.3 wymienione są sekwencje dla znaków specjalnych wymagających zastąpienia. TABELA 16.3. Sekwencje dla znaków specjalnych w filtrach LDAP

Znak

Sekwencja zastępująca

(

\28

)

\29

*

\2a

/

\2f

\

\5c

NUL (00 )

\00

hex

Przykłady Składnia filtra jest pokazana poniżej na kilku przykładach. Aby znaleźć obiekt o nazwie CN Dorota: (cn=Dorota)

Nie ma problemu, jeżeli wartość atrybutu zawiera spacje: (cn=Dorota Laskowik)

Aby znaleźć wszystkie obiekty zaczynające się od A, użyj znaku zastępującego w następujący sposób: (cn=A*)

Aby można było znaleźć obiekty z wersją systemu operacyjnego 5, wcześniejszą (operatingSystemVersion) lub utworzone przed 1 stycznia 2011 (whenCreated), dwa wyrażenia filtra zostały połączone za pomocą operatora OR, jak jest pokazane poniżej: (|(operatingSystemVersion<=5)(whenCreated<=20110101000000.0Z))

Możliwe są również bardziej skomplikowane kombinacje: (&(|(objectClass=User)(objectClass=Computer))(!(mail=*xmp.site)))

Filtr ten pozwala wyszukać obiekty użytkowników i komputerów, które nie zawierają adresu e-mail (atrybut mail) i które kończą się na xmp.site. OSTRZEŻENIE Powoduje to również wyłączenie wszystkich obiektów bez atrybutu mail, ponieważ nie można określić, czy spełniają one powyższy warunek.

418 CZĘŚĆ III Active Directory

Aby sprawdzić, czy atrybut istnieje, należy określić jego wartość jako *, jak jest to pokazane poniżej: (mail=*)

Filtr ten zwraca wszystkie obiekty z atrybutem mail. Poniższy filtr zwraca wszystkie obiekty bez atrybutu mail. (!(mail=*))

Ponieważ w LDAP filtr musi być określony, przydatny jest filtr, który nie ogranicza wyniku i pozwala na pobranie wszystkich obiektów: (objectClass=*)

Ponieważ każdy obiekt dziedziczy po głównej klasie, dla której atrybut objectClass jest obowiązkowy, dopasowywane są wszystkie obiekty, gdyż każdy z nich posiada atrybut objectClass. Typ atrybutu jest ważny przy operacjach porównania: znaki specjalne oraz komparatory (<=, >=, ~=) mogą być używane wyłącznie dla atrybutów zawierających ciągi znaków Atrybuty objectClass i inne, na przykład memberOf, nie są ciągami znaków — choć są wyświetlane w postaci zwykłego tekstu — i nie mogą być filtrowane za pomocą tych komparatorów. Na przykład poniższe filtry nigdy nie zwrócą wyniku: (objectClass=Pers*) (objectClass<=Z)

Składnia reguł porównania jest następująca: (&(objectClass=User)(userAccountControl:1.2.840.113556.1.4.804:=18))

Filtr ten wyszukuje wszystkie zablokowane (LOCKOUT=16) oraz dezaktywowane obiekty (ACCOUNTDISABLE=2).

Iterowanie po wynikach wyszukiwania Funkcja ldap_get_entries() zwraca wszystkie wyniki wyszukiwania w postaci tablicy (patrz listing 16.5). Alternatywnym sposobem jest przyrostowe pobieranie atrybutów i wyników. Zapytania przyrostowe Funkcje ldap_first_entry() oraz ldap_next_entry() pozwalają na przyrostowe pobieranie obiektów. Aby pobrać atrybuty obiektu, użyj funkcji ldap_get_attributes(). Na listingu 16.6 zademonstrowałem użycie tych funkcji. Po zakończeniu działania metody ldap_search() za pomocą funkcji ldap_first_entry() pobierany jest pierwszy obiekt. Następnie w pętli za pomocą metody ldap_get_attributes() pobierane są atrybuty bieżącego obiektu. Aby pobrać następny obiekt, użyta jest funkcja ldap_next_entry(), która zwraca kolejny obiekt lub false, jeżeli osiągnięty został koniec zbioru wynikowego.

ROZDZIAŁ 16. Podstawy LDAP 419 LISTING 16.6. Przyrostowe odczytywanie obiektów będące wynikiem wyszukiwania $result = ldap_search($ldapLink, $baseDN, $filter, $attributes); if (!$result) { // Wystąpił błąd } $entry = ldap_first_entry($ldapLink, $result); if (!$entry) { // Wystąpił błąd } do { $attr = ldap_get_attributes($ldapLink, $entry); if (!$attr) { // Wystąpił błąd } // ... } while ($entry = ldap_next_entry($ldapLink, $entry)); ldap_free_result($result);

OSTRZEŻENIE W przeciwieństwie do ldap_get_entries() nazwy atrybutów dla ldap_get_attributes() nie są zapisane małymi literami, ale używane są zasady zdefiniowane w Active Directory.

Zapytania przyrostowe dla atrybutów Podobnie jak w przypadku obiektów możliwe jest również przyrostowe pobieranie atrybutów. Do tego celu używane są funkcje ldap_first_attribute() oraz ldap_next_attribute(), które pozwalają iterować po atrybutach obiektu. Funkcje te zwracają nazwę następnego atrybutu w postaci ciągu znaków (również w tym przypadku stosowane są zasady wielkości liter zdefiniowane w Active Directory). Za pomocą funkcji ldap_get_values() można pobrać wartość określonego atrybutu w postaci tablicy. Na listingu 16.7 zademonstrowałem użycie tych funkcji. LISTING 16.7. Przyrostowe pobieranie atrybutów obiektu w wyniku wyszukiwania // $ldapLink, $entry są ustawione. // $entry wskazuje na obiekt w wyniku wyszukiwania $attr = ldap_first_attribute($ldapLink, $entry); if (!$attr) { // Wystąpił błąd } do { $values = ldap_get_values($ldapLink, $entry, $attr); if (!$values) { // Wystąpił błąd } // ... } while ($attr = ldap_next_attribute($ldapLink, $entry)); // ...

420 CZĘŚĆ III Active Directory

Można również użyć funkcji ldap_get_values() bez ldap_first_attribute() i ldap_next_attribute(). Aby pobrać wartości binarne, użyj funkcji ldap_get_values_len(). UWAGA W przypadku platform i wersji programów opisanych w książce możesz użyć ldap_get_values(), ldap_get_attributes() oraz ldap_get_entries() do wyszukiwania takich wartości binarnych jak GUID

oraz SID użytkownika.

Podsumowanie Filtry oraz nazwy DN są podstawą interakcji z Active Directory poprzez interfejs LDAP: hierarchia modelu danych jest odzwierciedlona w hierarchicznej składni DN, a filtry pozwalają na budowanie zapytań bazujących na atrybutach obiektów. Możesz użyć funkcji PHP do podłączenia się do Active Directory i pobrania takich obiektów przedstawionych w tym rozdziale, jak użytkownicy, grupy, jednostki organizacyjne i komputery. W następnym rozdziale wyjaśnię różnice pomiędzy tymi obiektami, jak również składnię i zasady struktury. Przykładowa przeglądarka LDAP zbudowana w następnym rozdziale jest przydatna w tworzeniu aplikacji, ponieważ pozwala na szybkie przeglądanie powiązanych obiektów oraz ich atrybutów.

Rozdział 17.

Wyszukiwanie w Active Directory W tym rozdziale: Przeglądarka LDAP w PHP ................................................................................................422 Drzewo informacji katalogu oraz konteksty nazewnictwa ..............................................429 Schemat Active Directory .................................................................................................430 Obiekty domeny .................................................................................................................438 Konkretne przykłady wyszukiwania .................................................................................449 Podsumowanie ..................................................................................................................457

W tym rozdziale przedstawię szczegółowo schemat Active Directory, jak również strukturę drzewa informacji katalogu (DIT) oraz ważne typy obiektów (użytkownicy, grupy oraz jednostki organizacyjne). Wyjaśnię też, jak utworzyć w PHP przeglądarkę LDAP, która może być używana do wyszukiwania oraz przeglądania danych w Active Directory. Przeglądarka ta zawiera również kilka przydatnych funkcji pozwalających na konwersję wartości Security ID (SID) na ciąg znaków, konwersję globalnych identyfikatorów unikatowych (GUID) oraz konwersję znaczników czasu PHP i Windows.

Przeglądarka LDAP w PHP Przykładową aplikacją w tym rozdziale jest przeglądarka LDAP w PHP (PLB). Przeglądarka ta posiada prosty, rozszerzalny interfejs wyszukiwania i konwertuje dane binarne atrybutów na czytelny dla człowieka format. W kolejnych punktach opiszę najważniejsze komponenty PLB: interfejs użytkownika, klasy do formatowania obiektów LDAP oraz strukturę definicji wyszukiwania oraz danych o typach.

422 CZĘŚĆ III Active Directory

Główny program i interfejs użytkownika Główny program PLB kontroluje operacje oraz interakcję z użytkownikiem. Program ten jest podzielony na listingi od 17.1 do 17.5, stanowiące kompletny skrypt PHP. Formularz wprowadzania danych Na listingu 17.1 przedstawiony jest formularz wprowadzania danych. Strona jest utworzona za pomocą klasy HTMLPage (więcej informacji na ten temat znajdziesz w dodatku A „Przykładowe skrypty i dane”). Opcje w liście rozwijanej są dynamicznie tworzone z istniejących definicji wyszukiwania ($objectClasses z browse_ldap_types.php). Na koniec sprawdzamy, czy oba parametry wejściowe ($_GET['type'] oraz $_GET['name']) są ustawione. Jeżeli nie są, wyświetlany jest formularz i skrypt kończy pracę. Zmienna type określa rodzaj wyszukiwania, a zmienna name określa parametr dla filtra wyszukiwania. LISTING 17.1. browse_ldap.php — formularz wprowadzania danych
'./HTMLPage.php'; './LDAPConnection.php'; './LDAPEntryFormatter.php'; './browse_ldap_types.php'; './AD_util.php';

$html = new HTMLPage('Przeglądarka LDAP'); $form = << Nazwa: EOF; foreach ($objectClasses as $name => $config) { $form .= sprintf('%s', htmlspecialchars($name), htmlspecialchars($config['name'])); } $form .= <<
EOF; $html->addHTML($form); // Kontrola, czy parametry istnieją if (!isset($_GET['name']) || !isset($_GET['type'])) { $html->printPage(); exit; }

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 423

Wyszukiwanie w LDAP W następnym kroku należy utworzyć i uwierzytelnić połączenie LDAP, do czego użyjemy klasy LDAPConnection (więcej informacji znajdziesz w rozdziale 16. „Podstawy LDAP”), jak jest to pokazane na listingu 17.2. W zależności od typu wyszukiwania użyta zostanie jedna z wymienionych dwóch funkcji PHP: „

Wyszukiwanie nazwy wyróżniającej (DN) za pomocą ldap_read(). Ponieważ każda nazwa DN jest unikatowa, w Active Directory znaleziony będzie tylko jeden obiekt. Funkcja ldap_read() pobiera tylko zdefiniowany obiekt, zamiast przeszukiwać cały katalog. Ponieważ konieczne jest podanie filtra, możesz użyć (objectClass=*), który odnosi się do wszystkich obiektów.

„

Ogólne wyszukiwanie za pomocą ldap_search(). Pozostałe zapytania zawsze zaczynają pracę od głównej nazwy DN i przeszukują całe podrzędne drzewo katalogu. Filtr i główna nazwa DN pochodzą z definicji wyszukiwania w $objectClasses zdefiniowanej w browse_ldap_types.php.

LISTING 17.2. browse_ldap.php — tworzenie połączenia i wysyłanie zapytania // Tworzenie połączenia $ad = new LDAPConnection(); $ad->connect('doco-exch.xmp.site', '[email protected]', 'confidential'); // Parametry filtra if (!isset($objectClasses[$ GET['type']])) { $ad->exitWithError('Nieprawidłowy typ obiektu!'); } $class = $objectClasses[$_GET['type']]; // Dwa różne typy wyszukiwania wyszukiwanie DN obiektu ... if (isset($_GET['getDN'])) { $result = ldap_read($ad->handle, $_GET['name'], '(objectClass=*)', $class['attributes']); } // ... lub wyszukiwanie baseDN z użyciem filtra else { $name = preg replace($class['filterchars'], '', $ GET['name']); $filter = sprintf($class['filter'], $name); $result = ldap_search($ad->handle, $class['baseDN'], $filter, $class['attributes']); } if (!$result) { $ad->exitWithError('Wyszukiwanie w LDAP nie powiodło się.'); }

Analiza wyników wyszukiwania Po zakończeniu wyszukiwania wynik jest analizowany i wyświetlany (patrz listing 17.3). Funkcja ldap_count_entries() zwraca liczbę wyników wyszukiwania. Funkcje listSingleEntry() oraz listEntries() przetwarzają wyniki wyszukiwania. Następnie wyniki wyszukiwania są zwalniane za pomocą ldap_free_result() i połączenie jest zamykane.

424 CZĘŚĆ III Active Directory LISTING 17.3. browse_ldap.php — analiza i zwracanie wyników wyszukiwania // Wyświetlane dane zależą od liczby wyników $cnt = ldap count entries($ad->handle, $result); if (!$cnt) { $html->addElement('p', 'Brak wyników wyszukiwania.'); } elseif ($cnt == 1) { list($heading, $table) = listSingleEntry($ad, $result, $_GET['type']); $html->addElement('h2', $heading); $html->addTable($table, array(true, true)); } else { $list = listEntries($ad, $result, $ GET['type']); $html->addElement('h2', 'Wyniki wyszukiwania'); $html->addList($list, true); } // Zwolnienie bufora wyszukiwania, zamknięcie połączenia ldap_free_result($result); $ad->close(); $html->printPage();

Przeglądanie wyników Aby przygotować wyniki, powinieneś użyć dwóch różnych funkcji, w zależności od tego, czy chcesz wyświetlić dane dla pojedynczego wyniku, czy listę wyników. Na listingu 17.4 pokazane jest wyświetlanie wyników wyszukiwania za pomocą funkcji listEntries(). Funkcja ldap_get_entries() zwraca wszystkie wyniki w jednej tablicy. Ponieważ klasy obiektów nie są znane, z wyników wyszukiwania wyświetlana jest jedynie nazwa DN. Nazwa DN obiektu z tablicy jest odczytywana za pomocą $entries[$i]['dn']. W wygenerowanym łączu parametr getDN=1 jest używany do wykonania analogicznego wyszukiwania. LISTING 17.4. browse_ldap.php — lista wyników wyszukiwania /** * Zwraca kilka wyników wyszukiwania i wyświetla je */ function listEntries($ad, $result, $class) { $entries = ldap get entries($ad->handle, $result); if (!$entries) { $ad->exitWithError('Nieudany odczyt wyników wyszukiwania z LDAP.'); } $list = array(); for ($i = 0; $i < $entries['count']; $i++) { $list[] = '' . htmlspecialchars($entries[$i]['dn']) . ''; } return $list; }

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 425

Na listingu 17.5 zamieszczona jest funkcja listSingleEntry(), która wyświetla szczegóły obiektu. Ponieważ powinniśmy zachować wielkości liter atrybutów, zamiast funkcji ldap_get_entries() użyjemy ldap_first_entry() oraz ldap_get_attributes(). Funkcja ldap_get_dn() zwraca nazwę DN obiektu. Klasa LDAPEntryFormatter formatuje wyniki. LISTING 17.5. browse_ldap.php — zwraca jeden obiekt /** * Odczytuje jeden obiekt z wyniku wyszukiwania i formatuje go w celu wyświetlenia */ function listSingleEntry($ad, $result, $class) { $entry = ldap first entry($ad->handle, $result); if (!$entry) { $ad->exitWithError('Nieudany odczyt obiektu LDAP.'); } $attr = ldap_get_attributes($ad->handle, $entry); $ef = new LDAPEntryFormatter($attr, $class, 'browse_ldap.php'); $table = $ef->getAttributes(); $title = $class . ': ' . ldap_get_dn($ad->handle, $entry); return array($title, $table); } ?>

Formatowanie obiektu LDAP Klasa LDAPEntryFormatter wraz z HTMLPage pozwala na przetworzenie i sformatowanie wyniku (listing 17.6). Typ oraz atrybuty obiektu są przekazywane do konstruktora. LISTING 17.6. LDAPEntryFormatter — klasa generująca szczegółowy widok obiektu LDAP attr = $attributes; $this->type = $type; $this->url = $url; } function getAttributes() { ... } function getValue($name, $link) { ... } function link($value, $link) { ... } } ?>

426 CZĘŚĆ III Active Directory

Na listingu 17.7 pokazana jest metoda LDAPEntryFormatter->getAttributes(). Metoda ta generuje tablicę, która może być przekazana do HTMLPage->addTable(). Atrybuty obiektu są przetwarzane kolejno w pętli i jeżeli istnieje odpowiedni wpis w $attributeConversion (z pliku browse_ldap_types.php), konwertowane są za pomocą funkcji konwersji ze skryptu AD_util.php. LISTING 17.7. LDAPEntryFormatter->getAttributes() — przetwarzanie atrybutów /** * Zwraca atrybuty obiektu LDAP * w tablicy zgodnej z HTMLPage->addTable() */ function getAttributes() { global $attributeConvertion; $table = array(array('attribute', 'value')); for ($i = 0; $i < $this->attr['count']; $i++) { $attr = $this->attr[$i]; $link = isset($attributeConvertion[$attr]) ? $attributeConvertion[$attr] : false; $table[] = array($this->link($attr, 'attributeSchema'), $this->getValue($attr, $link)); } return $table; }

Metoda LDAPEntryFormatter->getValue() obsługuje listę atrybutów i agreguje wartości w jednym ciągu znakowym (listing 17.8). LISTING 17.8. LDAPEntryFormatter->getValue() — zwraca wartości atrybutów /** * Zwraca łącze ze skonwertowaną wartością atrybutu */ function getValue($name, $link=false) { if (!($cnt = $this->attr[$name]['count'])) { return '(empty)'; } if ($cnt == 1) { return $this->link($this->attr[$name][0], $link); } $val = "($cnt) "; for ($i = 0; $i < $cnt; $i++) { $val .= $this->link($this->attr[$name][$i], $link) . '; '; } return $val; }

Metoda LDAPEntryFormatter->link() z listingu 17.9 łączy i konwertuje atrybuty: jeżeli ustawiony jest parametr $link, funkcja sprawdza, czy istnieje funkcja konwersji o tej samej nazwie (w przestrzeni nazw net\xmp\phpbook). Jeżeli funkcja taka istnieje, jest wywoływana, w przeciwnym razie generowane jest łącze do typu obiektu.

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 427 LISTING 17.9. Metoda LDAPEntryFormatter->link() — łączenie i konwersja wartości /** * Łączy wartość pojedynczego atrybutu */ function link($value, $link=false) { $txt = htmlspecialchars($value); // Brak danych -> zwykły tekst if ($link === false) { return $txt; } // Czy istnieje funkcja konwersji? elseif (function_exists('net\\xmp\\phpbook\\' . $link)) { $func = 'net\\xmp\\phpbook\\' . $link; return htmlspecialchars($func($value)); } // W przeciwnym razie jest to klasa obiektu else { $getdn = ''; if (substr($link, 0, 3) === 'DN-') { $link = substr($link, 3); $getdn = '&getDN=1'; } return "$txt"; } }

Dane o typach i definicje wyszukiwania Plik browse_ldap_types.php zawiera definicje dla klas obiektów wyszukiwania oraz obiektów LDAP. Dwiema głównymi tablicami są: „

$objectClasses — tablica asocjacyjna zawierająca następujące pozycje dla każdego typu lub każdego wyszukiwania: „

name — tekst dla listy rozwijanej.

„

baseDN — główna nazwa DN dla wyszukiwania w drzewie katalogu.

„

filter — filtr LDAP, %s jest miejscem na dane podane przez użytkownika.

„

attributes — tablica atrybutów do wyświetlenia; pusta tablica oznacza, że wyświetlone

będą wszystkie atrybuty. „

filterchars — wyrażenie regularne do odfiltrowania niechcianych znaków z danych

wejściowych. „

$attributeConvertion — tablica asocjacyjna zawierająca nazwy atrybutów dla nazw funkcji

lub typów obiektów. W pierwszym przypadku wywoływana jest funkcja konwertująca atrybuty, a w drugim obiekt jest odpowiednio dołączany.

428 CZĘŚĆ III Active Directory LISTING 17.10. browse_ldap_types.php — dane o typach oraz definicje wyszukiwania $val) { if (!isset($oc[$name])) { $oc[$name] = $val; } } } if (!isset($oc['filterchars'])) { $oc['filterchars'] = "/[^-_ a-z0-9*.']/i"; } } /** * Łączenie i konwersja atrybutów */ $attributeConvertion = array( // ... ); ?>

Funkcje konwersji Funkcje konwersji dla wartości atrybutów są umieszczone w pliku AD_util.php. Na listingu 17.11 zamieszczona jest funkcja dec2hex() pozwalająca skonwertować liczbę dziesiętną na postać szesnastkową. LISTING 17.11. AD_util.php — funkcje konwersji

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 429

Drzewo informacji katalogu oraz konteksty nazewnictwa Drzewo informacji katalogu (DIT) dla usługi katalogowej (na przykład Active Directory) jest sumą wszystkich informacji zapisanych w katalogu: należą do niego nie tylko obiekty danych, ale również ich schemat. Drzewo DIT jest podzielone na kilka kontekstów nazewnictwa. Odpowiednie obiekty należą do różnych partycji DIT. DIT (struktura katalogu) w Active Directory jest podzielona na co najmniej trzy konteksty nazewnictwa. Niektóre konteksty nazewnictwa są specyficzne dla domeny, a inne są wspólne dla lasu Active Directory. Kontekstami nazewnictwa są: „

Kontekst domeny — na przykład DC=xmp,DC=site; w tym kontekście zapisywane są obiekty domeny, na przykład obiekty komputerów, użytkowników, grup i tak dalej. Zwykle operujesz w tym kontekście nazewnictwa. Las Active Directory może zawierać wiele kontekstów domeny.

„

Kontekst konfiguracji — na przykład CN=Configuration,DC=xmp,DC=site; kontekst konfiguracji zawiera informacje na temat lasu Active Directory takie jak lista domen w lesie, kontrolery domeny oraz usługi w domenach.

„

Kontekst schematu — na przykład CN=Schema,CN=Configuration,DC=xmp,DC=site; schemat zawiera informacje o wszystkich obiektach i klasach atrybutów, jak również strukturę oraz zasady kontekstu dla drzewa katalogu. Obiekty i atrybuty w Active Directory mogą być tworzone i modyfikowane jedynie zgodnie z wyspecyfikowanymi zasadami.

„

Opcjonalne konteksty aplikacji — na przykład DC=DomainDnsZones,DC=xmp,DC=site; aplikacje w Active Directory, takie jak usługa DNS, posiadają własne konteksty nazewnictwa. Te konteksty pozwalają na zapisywanie danych z aplikacji, ale nie pozwalają na rejestrowanie kont użytkowników ani innych zabezpieczeń.

Wyszukiwanie LDAP może być wykonane za każdym razem w jednym kontekście nazewnictwa i ogólne wyszukiwanie nie jest możliwe. Podczas wyszukiwania w Active Directory pierwszym krokiem jest wybranie odpowiedniego kontekstu nazewnictwa za pomocą odpowiedniej głównej nazwy DN. WAŻNE Choć DN kontekstu nazewnictwa sugeruje, że schemat jest zawarty w konfiguracji, a domena zawiera schemat i konfigurację, to jednak tak nie jest. Konteksty nazewnictwa są zawsze autonomiczne.

Schemat Active Directory Schemat Active Directory jest rozszerzalny: składa się z ponad 200 klas obiektów oraz ponad 1200 definicji atrybutów z około 30 różnymi składniami dla wartości. Najważniejsze właściwości schematu są opisane w kolejnych punktach.

430 CZĘŚĆ III Active Directory UWAGA Kompletny opis schematu Active Directory można znaleźć na stronie MSDN pod adresem http://msdn.microsoft.com/en-us/library/ms675085.aspx.

Schemat Active Directory jest zapisany w kontekście nazewnictwa schematu w DIT (zwykle jego główna nazwa DN to CN=Schema,CN=Configuration,DC=…,DC=…). Kontekst nazewnictwa schematu nie posiada głębokiej hierarchii. Obiekty i klasy atrybutów, które są ważne dla schematu, są zdefiniowane jeden poziom poniżej głównej nazwy DN.

Klasy obiektów Klasy obiektów definiują zawartość oraz zasady struktury dla obiektów: na przykład które atrybuty są obowiązkowe, a które opcjonalne czy też jaką klasę obiektu musi posiadać obiekt nadrzędny w drzewie katalogów. Na listingu 17.12 zamieszczona jest zawartość głównej klasy obiektu, która służy jako podstawa dla wszystkich innych klas obiektu w Active Directory. LISTING 17.12. Atrybuty głównej klasy obiektu Dn: CN=Top,CN=Schema,CN=Configuration,DC=xmp,DC=site cn: Top; defaultHidingValue: TRUE; defaultObjectCategory: CN=Top,CN=Schema,CN=Configuration,DC=xmp,DC=site; distinguishedName: CN=Top,CN=Schema,CN=Configuration,DC=xmp,DC=site; instanceType: 0x4 = ( WRITE ); lDAPDisplayName: top; mayContain (4): msSFU30PosixMemberOf; msDFSR-ComputerReferenceBL; [ ... ] name: Top; objectCategory: CN=Class-Schema,CN=Schema,CN=Configuration,DC=xmp,DC=site; objectClass (2): top; classSchema; objectClassCategory: 2 = ( ABSTRACT ); objectGUID: db474ff7-44d0-486c-988f-6cab04cd9be8; schemaIDGUID: bf967ab7-0de6-11d0-a285-00aa003049e2; subClassOf: top; systemFlags: 0x10 = ( SCHEMA BASE OBJECT ); systemMayContain (104): description; createTimeStamp; cn; [ ... ] systemMustContain (4): objectClass; objectCategory; nTSecurityDescriptor; instanceType; systemOnly: TRUE; systemPossSuperiors: lostAndFound; whenChanged: 2/11/2009 6:37:20 PM W. Europe Daylight Time; whenCreated: 2/11/2009 6:37:20 PM W. Europe Daylight Time;

Atrybuty klas obiektów W tabeli 17.1 znajdują się interesujące atrybuty klas obiektów w schemacie. Atrybuty te pomagają organizować klasy oraz zapewniają informacje o dopuszczalnych atrybutach.

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 431 TABELA 17.1. Atrybuty opisu klasy obiektu (classSchema)

Atrybut

Opis

adminDescription

Zawiera krótki opis klasy obiektu (nie we wszystkich klasach).

auxiliaryClass, systemAuxiliaryClass

Lista dodatkowych klas, których atrybuty są tu wykorzystane.

defaultHidingValue

Jeżeli ma wartość TRUE, obiekt tej klasy domyślnie nie jest wyświetlany w Microsoft Management Console (MMC) oraz innych programach.

defaultObjectCategory

DN atrybutu objectCategory dla obiektów tej klasy.

lDAPDisplayName

Nazwa klasy używanej do zapytań LDAP.

mayContain, systemMayContain

Lista opcjonalnych atrybutów klasy.

mustContain, systemMustContain

Lista obowiązkowych atrybutów klasy.

name

Nazwa oraz względna nazwa wyróżniająca (RDN) obiektu klasy.

objectClassCategory

Kategoria klasy obiektu (patrz tabela 17.2).

possibleInferiors

Automatycznie generowana lista klas, które mają obiekty podrzędne tej klasy (zasada struktury tylko do odczytu).

possSuperiors, systemPossSuperiors

Lista klas wymagających obiektu nadrzędnego tej klasy (zasada struktury).

subClassOf

Hierarchia klas: definiuje klasy, z których są dziedziczone atrybuty.

systemOnly

Jeżeli ma wartość TRUE, wygenerowany obiekt może być zmieniany wyłącznie przez Active Directory.

Nie wszystkie klasy są skojarzone z kategoriami klas. Tylko klasy struktury mogą tworzyć obiekty bezpośrednio w katalogu. W tabeli 17.2 wymienione są kategorie klas. Poza kilkoma wyjątkami klasy obiektów w Active Directory są klasami struktury. TABELA 17.2. Kategorie klas obiektów

Nazwa

Wartość

Opis

88

0

Klasa istniejąca przed zdefiniowaniem kategorii klas. Przykład: person, country.

Abstract

2

Abstrakcyjne klasy obiektu, które nie mogą być bezpośrednio konkretyzowane i są używane wyłącznie przy dziedziczeniu. Przykłady: top, domain.

Auxiliary

3

Dodatkowe klasy mogą przekazywać swoje atrybuty do klas abstrakcyjnych oraz struktury, ale nie mogą być konkretyzowane. Przykłady: mailRecipient, securityPrincipal.

Structural

1

Strukturalne klasy kategorii są klasami konkretnymi, pozwalającymi na tworzenie obiektów w katalogu. Przykład: user, group.

PLB — wyszukiwanie i przeglądanie klas obiektów Aby móc użyć aplikacji PLB do wyszukiwania i przeglądania klas obiektów, musisz rozszerzyć definicje w pliku browse_ldap_types.php w sposób pokazany na listingu 17.13. Opcja Schemat: klasa obiektu zostanie dodana do wyszukiwania w LDAP. Możesz użyć jej do wyszukiwania klas według nazwy LDAP. Na rysunku 17.1 pokazany jest przykład wyszukiwania klasy User.

432 CZĘŚĆ III Active Directory LISTING 17.13. browse_ldap_types.php — rozszerzenie klas obiektów $objectClasses = array( // ... 'classSchema' => array( 'name' => 'Schemat: klasa obiektu', 'baseDN' => "CN=Schema,CN=Configuration,$rootDN", 'filter' => '(&(lDAPDisplayName=%s)(objectClass=classSchema))', 'attributes' => array( 'name', 'lDAPDisplayName', 'subClassOf', 'defaultObjectCategory', 'objectCategory', 'systemPossSuperiors', 'possSuperiors', 'auxiliaryClass', 'systemAuxiliaryClass', 'mustContain', 'systemMustContain', 'mayContain', 'systemMayContain', 'systemOnly', 'possibleInferiors', 'defaultHidingValue', 'adminDescription') ), ); $attributeConvertion = array( // ... 'subClassOf' => 'classSchema', 'possSuperiors' => 'classSchema', 'systemPossSuperiors' => 'classSchema', 'possibleInferiors' => 'classSchema', 'auxiliaryClass' => 'classSchema', 'systemAuxiliaryClass' => 'classSchema', 'mustContain' => 'attributeSchema', 'systemMustContain' => 'attributeSchema', 'mayContain' => 'attributeSchema', 'systemMayContain' => 'attributeSchema', );

RYSUNEK 17.1. PLB — widok szczegółowy klasy User

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 433

Klasy obiektów a kategorie obiektów Każdy obiekt w Active Directory posiada dwa atrybuty dostarczające informacji o klasie obiektu: objectClass oraz objectCategory. Atrybut objectClass zawiera identyfikator obiektu (OID) wszystkich klas, natomiast objectCategory zawiera tylko DN (zwykle najbardziej szczegółowej klasy). Z tego powodu atrybut objectClass zawiera zwykle cztery lub pięć wartości, natomiast atrybut objectCategory zawiera tylko jedną wartość. Jeżeli chcesz wybrać przy wyszukiwaniu możliwie specyficzny typ obiektu, powinieneś użyć w filtrze LDAP atrybutu objectCategory. Na przykład klasa User zawiera następujące wartości atrybutów: objectClass (4): top; person; organizationalPerson; user; objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=xmp,DC=site;

Jeżeli użyjesz filtra LDAP zawierającego (objectClass=user), znajdziesz nie tylko użytkowników, ale również komputery, ponieważ obiekty te dziedziczą po klasie User: objectClass (4): top; person; organizationalPerson; user; computer; objectCategory: CN=Computer,CN=Schema,CN=Configuration,DC=xmp,DC=site;

UWAGA Active Directory upraszcza wyszukiwanie z użyciem objectClass oraz objectCategory,

ponieważ oprócz tego, że umożliwia wyszukiwanie OID (objectClass) lub DN (objectCategory), wstawia również do filtra wartość LDAPDisplayName. Active Directory przeszukuje schemat i zamienia LDAPDisplayName na odpowiednią wartość OID lub DN (z defaultObjectCategory). Na przykład jeżeli w filtrze podasz (objectCategory=computer), Active Directory będzie szukać przy użyciu filtra (objectCategory=CN=Computer,CN=Schema,CN=Configuration,DC=xmp,DC=site).

Klasy atrybutów Klasy atrybutów definiują atrybuty obiektów. Jeżeli atrybut może mieć jedną lub więcej wartości, to jaka będzie składnia dla wartości atrybutu? Na listingu 17.14 zamieszczone są wybrane definicje klasy atrybutu userPrincipalName, który zawiera pełną nazwę konta użytkownika. LISTING 17.14. Atrybuty klasy userPrincipalName Dn: CN=User-Principal-Name,CN=Schema,CN=Configuration,DC=xmp,DC=site attributeID: 1.2.840.113556.1.4.656; attributeSecurityGUID: e48d0154-bcf8-11d1-8702-00c04fb96050; attributeSyntax: 2.5.5.12 = ( UNICODE ); cn: User-Principal-Name; distinguishedName: CN=User-Principal-Name,CN=Schema,CN=Configuration,DC=xmp,DC=site; instanceType: 0x4 = ( WRITE ); isMemberOfPartialAttributeSet: TRUE; isSingleValued: TRUE; lDAPDisplayName: userPrincipalName; name: User-Principal-Name; objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=xmp,DC=site;

434 CZĘŚĆ III Active Directory objectClass (2): top; attributeSchema; objectGUID: 32fc1ed7-466e-40e6-a989-881ec2b5cc1f; oMSyntax: 64 = ( UNICODE STRING ); rangeUpper: 1024; schemaFlagsEx: 1; schemaIDGUID: 28630ebb-41d5-11d1-a9c1-0000f80367c1; searchFlags: 0x1 = ( INDEX ); showInAdvancedViewOnly: TRUE; systemFlags: 0x12 = ( ATTR_REQ_PARTIAL_SET_MEMBER | SCHEMA_BASE_OBJECT ); systemOnly: FALSE; whenChanged: 2/11/2009 6:37:17 PM W. Europe Daylight Time; whenCreated: 2/11/2009 6:37:17 PM W. Europe Daylight Time;

Atrybuty klas atrybutów W tabeli 17.3 znajdują się interesujące atrybuty klas atrybutów w schemacie. Dane te pomagają odczytać ważne informacje z atrybutu, takie jak liczba wartości oraz składnia wartości. TABELA 17.3. Atrybuty opisu klasy atrybutu (classSchema)

Atrybut

Opis

adminDescription

Zawiera krótki opis klasy atrybutu (nie we wszystkich klasach).

attributeSyntax, oMSyntax

Składnia wartości atrybutu; na przykład czy jest to DN, OID, liczba lub ciąg znaków. Atrybut oMSyntax definiuje podtypy.

isMemberOfPartialAttributeSet

Jeżeli ma wartość TRUE, atrybut jest częścią katalogu globalnego.

isSingleValued

Określa, czy atrybut może mieć tylko jedną wartość (TRUE), czy dowolną liczbę wartości (FALSE).

lDAPDisplayName

Nazwa klasy używanej do zapytań LDAP.

name

Nazwa i RDN klasy atrybutu.

searchFlags

Maska bitowa dla ustawień wyszukiwania. Jeżeli jest spełniony warunek (searchFlags & 1)==1, wartości atrybutów są indeksowane w celu przyspieszenia wyszukiwania. Jeżeli jest spełniony warunek(searchFlags & 4)==4, atrybut jest dołączony do mechanizmu Rozpoznawanie niejednoznacznych nazw (ANR).

systemFlags

Maska bitowa dla ustawień. Jeżeli jest spełniony warunek (systemFlags & 2)==2, atrybut jest częścią katalogu globalnego.

systemOnly

Atrybut może być ustawiony wyłącznie, jeżeli jest wygenerowany skojarzony obiekt. Dodatkowo tylko Active Directory może zmienić ten atrybut.

PLB — wyszukiwanie i przeglądanie klas atrybutów Aby użyć aplikacji PLB do wyszukiwania i przeglądania klas atrybutów, musisz rozszerzyć definicje w pliku browse_ldap_types.php w sposób pokazany na listingu 17.15. Opcja Schemat: klasa atrybutu zostanie dodana do wyszukiwania w LDAP. Możesz użyć jej do wyszukiwania atrybutów według nazwy LDAP.

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 435 LISTING 17.15. browse_ldap_types.php — rozszerzenie klas atrybutów $objectClasses = array( // ... 'attributeSchema' => array( 'name' => 'Schemat: klasa atrybutu', 'baseDN' => "CN=Schema,CN=Configuration,$rootDN", 'filter' => '(&(lDAPDisplayName=%s)(objectClass=attributeSchema))', 'attributes' => array( 'name', 'lDAPDisplayName', 'objectCategory', 'isSingleValued', 'attributeID', 'attributeSyntax', 'oMSyntax', 'systemOnly', 'isMemberOfPartialAttributeSet','systemFlags', 'searchFlags', 'adminDescription') ), );

Składnia atrybutu Składnia atrybutu definiuje zasady składniowe, z którymi muszą być zgodne wartości atrybutów, sposób zapisu tych wartości oraz działania filtrów porównań LDAP. Składnia jest kontrolowana przez dwa atrybuty skojarzonej klasy atrybutu: attributeSyntax (główny typ) oraz oMSyntax (podtyp). W tabeli 17.4 zamieszczone są główne odmiany składni w Active Directory. TABELA 17.4. Składnia atrybutów w Active Directory

Nazwa

OID

Opis

Nazwa wyróżniająca (DN)

2.5.5.1

DN innego obiektu w Active Directory. Jeżeli wskazany obiekt zostanie przeniesiony lub zmieniona zostanie jego nazwa, atrybut zostanie automatycznie zaktualizowany. W filtrze zawsze musisz podawać kompletny DN. Znaki zastępujące oraz komparatory (<=, >=, ~=) są niedozwolone.

OID

2.5.5.2

Ciąg znaków zawierający OID. W filtrze zawsze musisz podawać kompletny OID. Dozwolony jest wyłącznie komparator równości (=).

Ciąg znaków z rozróżnianiem wielkości liter

2.5.5.3

Ciąg znaków z rozróżnianiem wielkości liter (składnia ta jest rzadko używana).

Ciąg znaków bez rozróżniania wielkości liter

2.5.5.4

Ciąg znaków bez rozróżniania wielkości liter, korzystający z zestawu znaków Teletex.

Drukowalny ciąg znaków IA5

2.5.5.5

Ciąg znaków o zestawie znaków zbliżonym do US-ASCII.

Ciąg numeryczny

2.5.5.6

Ciąg znaków zawierający liczbę (rzadko używana skłania) — to nie to samo co składnia liczby całkowitej.

DN z ciągiem ósemkowym, nazwa OR

2.5.5.7

Zawiera DN oraz dane binarne. Nazwa DN jest automatycznie aktualizowana (składnia ta jest rzadko używana).

Wartość logiczna

2.5.5.8

Wartość logiczna, podobna do TRUE i FALSE w filtrach.

Liczba całkowita, wartość wyliczeniowa

2.5.5.9

Liczby całkowite oraz specjalne typy wyliczeniowe, które mogą być używane tak jak liczby całkowite.

436 CZĘŚĆ III Active Directory TABELA 17.4. Składnia atrybutów w Active Directory — ciąg dalszy

Nazwa

OID

Opis

Ciąg ósemkowy

2.5.5.10

Dane binarne.

Ciąg z czasem

2.5.5.11

Czas w strefie czasowej Coordinated Universal Time (UTC), często używany dla atrybutu whenCreated.

Ciąg znaków Unicode bez rozróżniania wielkości liter

2.5.5.12

Ciąg znaków Unicode bez rozpoznawania wielkości liter to najczęściej stosowana składnia ciągów znaków w Active Directory.

Adres prezentacji OSI

2.5.5.13

Adres prezentacji w modelu warstwowym OSI (rzadko używana składnia).

DN z ciągiem Unicode

2.5.5.14

Zawiera DN oraz ciąg znaków. Nazwa DN jest automatycznie aktualizowana (składnia ta jest rzadko używana).

Deskryptor zabezpieczeń NT

2.5.5.15

Definicja zabezpieczeń NT.

Duży zakres całkowity

2.5.5.16

64-bitowy zakres liczb całkowitych lub czasu (dokładność zależy od atrybutu).

Ciąg SID

2.5.5.17

Identyfikator zabezpieczeń (SID).

Włączając w to podtypy, w Active Directory dostępnych jest około 30 różnych odmian składni. Zgodnie z ogólną zasadą w filtrze można użyć wyłącznie komparatora równości (=), chyba że wartość jest liczbą albo ciągiem znaków. Aby wyświetlić opis w aplikacji PLB, dodaj do pliku AD_util.php funkcję oidInfo() (listing 17.16). LISTING 17.16. AD_util.php, oidInfo() — dodatkowe dane dla OID /** * Zwraca dodatkowe dane dla znanych wartości OID (identyfikator obiektu). * @param string $oid OID jako ciąg znaków */ function oidInfo($oid) { static $info = array( '2.5.5.1' => 'Nazwa wyróżniająca (DN)', '2.5.5.2' => 'OID', '2.5.5.3' => 'Ciąg z rozróżnianiem wielkości liter', '2.5.5.4' => 'Ciąg bez rozróżniania wielkości liter', '2.5.5.5' => 'Ciąg drukowalny / Ciąg IA5', '2.5.5.6' => 'Ciąg numeryczny', '2.5.5.7' => 'DN z ciągiem ósemkowym / Nazwa OR', '2.5.5.8' => 'Wartość logiczna', '2.5.5.9' => 'Liczba całkowita / Wartość wyliczeniowa', '2.5.5.10' => 'Ciąg ósemkowy', '2.5.5.11' => 'Ciąg z czasem (UTC)', '2.5.5.12' => 'Ciąg Unicode', '2.5.5.13' => 'Adres prezentacji OSI', '2.5.5.14' => 'DN z ciągiem Unicode', '2.5.5.15' => 'Opis zabezpieczeń NT', '2.5.5.16' => 'Duża wartość całkowita / Interwał', '2.5.5.17' => 'SID', ); return empty($info[$oid]) ? $oid : "$oid ($info[$oid])"; }

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 437

Musisz również przypisać funkcję konwersji w $attributeConvertion (listing 17.17). LISTING 17.17. browse_ldap_types.php — łączenie z oidInfo() $attributeConvertion = array( ... // attributeSchema 'attributeSyntax' => 'oidInfo', ... );

Na rysunku 17.2 pokazane jest użycie funkcji oidInfo() do dołączenia dodatkowych informacji na temat składni w klasie atrybutu.

RYSUNEK 17.2. PLB — widok szczegółowy klasy atrybutu Object-Sid

Obiekty domeny W większości przypadków aplikacje WWW napisane w PHP korzystają z kontekstu nazewnictwa domeny w celu zarządzania użytkownikami, wykorzystując klasy grup oraz jednostek organizacyjnych. W kolejnych punktach przedstawię dokładniej trzy typy obiektów wraz z ich atrybutami, rozszerzając aplikację PLB o wyszukiwanie i wyświetlanie definicji tych klas obiektów.

438 CZĘŚĆ III Active Directory

Ogólne atrybuty obiektów domeny Wszystkie obiekty dziedziczą po głównej klasie obiektów. Klasa ta posiada ponad 100 atrybutów, z których cztery są obowiązkowe (objectClass, objectCategory, nTSecurityDescriptor oraz instanceType). W tabeli 17.5 zamieszczono kilka atrybutów. TABELA 17.5. Atrybuty, które mogą być używane we wszystkich obiektach

Atrybut

Opis

cn

Wspólna nazwa obiektu.

description

Opis obiektu.

displayName

Nazwa obiektu wyświetlana w programach. Na przykład kompletna nazwa obiektu użytkownika składa się z imienia, inicjału oraz nazwiska.

distinguishedName

DN obiektu; Active Directory automatycznie dodaje DN jako atrybut obiektu.

instanceType

Zawiera dane statusu w postaci maski bitowej. Wartość 4 wskazuje, że obiekt może być modyfikowany.

isCriticalSystemObject

Jeżeli ma wartość TRUE, obiekt jest replikowany do innych kontrolerów domeny.

name

Nazwa RDN obiektu.

nTSecurityDescriptor

Definicja zabezpieczeń NT.

objectCategory

Nazwa DN kategorii obiektu.

objectClass

Klasa obiektu. Atrybut zawiera wszystkie klasy obiektu w hierarchii dziedziczenia.

objectGUID

Nazwa GUID obiektu.

systemFlags

Maska bitowa dla znaczników natywnych.

whenChanged

Czas ostatniej zmiany obiektu.

whenCreated

Czas utworzenia obiektu.

PLB — ogólne wyszukiwanie obiektów domeny Aby użyć aplikacji PLB do wyszukiwania dowolnych obiektów w kontekście domeny, użytkownik może zdefiniować filtr. Zamiast tylko jednego atrybutu wyświetlane są wszystkie atrybuty obiektu. Na listingu 17.18 zamieszczone jest rozszerzenie, jakie powinieneś dodać do pliku browse_ldap_types.php. LISTING 17.18. browse_ldap_types.php — ogólne wyszukiwanie obiektów $objectClasses = array( // ... 'object' => array( 'name' => 'Definiowalny filtr', 'baseDN' => $rootDN, 'filter' => '%s', 'filterchars' => '/\x00/', 'attributes' => array() ),

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 439 ); $attributeConvertion = array( // ... 'objectCategory' => 'DN-classSchema', 'objectClass' => 'classSchema', 'objectGUID' => 'guid2str', 'systemFlags' => 'dec2hex', 'instanceType' => 'dec2hex', );

PLB — konwersja GUID obiektu GUID obiektu jest binarnym ciągiem LDAP, który wymaga konwersji na odpowiedni format tekstowy. Na listingu 17.19 przedstawiono funkcje konwersji GUI do postaci tekstowej (guid2str()) i odwrotnie (str2guid()). LISTING 17.19. AD_util.php — funkcje konwersji GUID /** * Konwertuje binarny GUID na ciąg znaków * @param string $guid binarny GUID */ function guid2str($guid) { $last = substr(bin2hex($guid), 20); $x = unpack('Vhead/v2mid/nmid3', $guid); return sprintf("%08x-%04x-%04x-%04x-%s", $x['head'], $x['mid1'], $x['mid2'], $x['mid3'], $last); } /** * Konwertuje ciąg znaków na binarny GUID * @param string $guidstr GUID jako ciąg znaków */ function str2guid($guidstr) { $v = explode('-', $guidstr); return pack('VvvnH*', hexdec($v[0]), hexdec($v[1]), hexdec($v[2]), hexdec($v[3]), $v[4]); }

Użytkownicy Active Directory zawiera obiekty kont użytkowników, oznaczone kategorią obiektu Person oraz korzystające z klasy obiektu User, dziedziczącej po klasach obiektu Top, Person i OrganizationalPerson. Atrybuty klasy User można podzielić na cztery grupy: dane osobiste (nazwisko, organizacja), dane kontaktowe (e-mail, strona WWW, telefon, adres), dane konta użytkownika oraz dane specyficzne dla systemu. Atrybuty dla pierwszych trzech grup są przedstawione w kolejnych punktach.

440 CZĘŚĆ III Active Directory

Dane osobiste Dane osobiste obejmują nazwisko, opis czy też informacje o firmie, w której pracuje użytkownik. Atrybuty te są wymienione w tabeli 17.6. TABELA 17.6. Nazwa i dane organizacji

Atrybut

Opis

company

Nazwa firmy.

department

Nazwa działu.

description

Ogólne pole opisowe.

displayName

Wyświetlana nazwa (imię, inicjał środkowy oraz nazwisko).

givenName

Imię.

initials

Środkowy inicjał.

name (cn)

Nazwa RDN obiektu, zwykle displayName.

sn

Nazwisko.

title

Stanowisko w organizacji.

Dane kontaktowe Dane kontaktowe obejmują takie dane elektroniczne jak adres e-mail, strona WWW i numery telefonów oraz adresy pocztowe. Dane kontaktowe są zamieszczone w tabeli 17.7. Atrybuty wWWHomePage i telephoneNumber można znaleźć na zakładce Ogólne w oknie właściwości użytkownika w konsoli MMC, natomiast pozostałe numery telefonów są umieszczone na zakładce Numery telefonów. TABELA 17.7. Adres e-mail, adres WWW oraz numery telefonów

Atrybut

Opis

facsimileTelephoneNumber

Numer faksu.

homePhone

Prywatny numer telefonu.

mail

Adres e-mail.

mobile

Numer telefonu komórkowego.

telephoneNumber

Podstawowy numer telefonu.

url

Dodatkowy adres WWW.

wWWHomePage

Główna witryna WWW.

W tabeli 17.8 zamieszczone są atrybuty adresów pocztowych. Adres pocztowy jest podzielony na standardowe pola adresu (ulica, kod pocztowy, lokal, kraj). Dane konta użytkownika W tabeli 17.9 zamieszczono kilka atrybutów związanych z kontem użytkownika, takich jak nazwa logowania, stan konta oraz czas wykonania różnych operacji.

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 441 TABELA 17.8. Adresy pocztowe

Atrybut

Opis

c, co, countryCode

Kraj lub region: c jest kodem dwuliterowym (na przykład PL), co jest pełną nazwą (na przykład Polska), a countryCode jest kodem kraju (na przykład 48).

l

Położenie.

postalCode

Kod pocztowy.

postOfficeBox

Skrzynka pocztowa.

st

Stan.

streetAddress

Ulica.

TABELA 17.9. Dane konta użytkownika

Atrybut

Opis

accountExpires

Data dezaktywacji konta.

badPasswordTime

Czas ostatniego nieudanego logowania.

badPwdCount

Liczba nieudanych prób logowania.

lastLogoff

Czas ostatniego nieudanego wylogowania.

lastLogon, lastLogonTimestamp

Czas ostatniego udanego logowania na odpytywanym kontrolerze domeny (lastLogon) lub czas ostatniego udanego logowania w domenie (lastLogonTimestamp).

memberOf

DN grup, których konto jest (bezpośrednim) członkiem.

objectSid

SID w formacie binarnym.

sAMAccountName

Nazwa logowania razem z domeną.

userAccountControl

Maska bitowa dla stanu konta.

userPassword

Hasło konta użytkownika (tylko do zapisu).

userPrincipalName

Nazwa logowania do domeny, w formacie nazwa@domena.

PLB — wyszukiwanie użytkowników Aby użyć aplikacji PLB do wyszukiwania obiektów użytkownika, dodaj wpisy z listingu 17.20 do pliku browse_ldap_types.php. Przy domyślnych ustawieniach wyświetlanych jest tylko kilka atrybutów, bez takich danych jak adres e-mail lub adres pocztowy. Aby zobaczyć wszystkie atrybuty obiektu użytkownika, zamień tablicę atrybutów na pustą tablicę. LISTING 17.20. browse_ldap_types.php — wyszukiwanie obiektów użytkowników $objectClasses = array( // ... 'user' => array( 'name' => 'Użytkownik', 'baseDN' => $rootDN, 'filter' => '(&(objectClass=User)(objectCategory=Person)(name=%s))', 'attributes' => array(

442 CZĘŚĆ III Active Directory 'name', 'displayName', 'userPrincipalName', 'memberOf', 'lastLogon', 'userAccountControl', 'accountExpires', 'objectCategory', 'objectClass', 'objectGUID', 'objectSid') ), ); $attributeConvertion = array( // ... 'lastLogon' => 'winStamp2str', 'lastLogonTimestamp' => 'winStamp2str', 'badPasswordTime' => 'winStamp2str', 'userAccountControl' => 'accountControl2str', 'accountExpires' => 'winStamp2str', 'objectSid' => 'sid2str', 'memberOf' => 'DN-group', );

Na rysunku 17.3 pokazany jest szczegółowy widok obiektu użytkownika w aplikacji PLB po wykonaniu wszystkich konwersji atrybutów użytkownika zdefiniowanych w $attributeConversion (listing 17.20).

RYSUNEK 17.3. PLB — widok szczegółowy obiektu użytkownika ze skonwertowanymi atrybutami

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 443

PLB — konwersja wartości SID Wartość SID jest przekazywana w postaci binarnej i musi być skonwertowana na postać tekstową. Na listingu 17.21 przedstawione są funkcje konwersji SID do postaci tekstowej (sid2str()) i odwrotnie (str2sid()). LISTING 17.21. AD_util.php — konwersja SID do tekstu i odwrotnie /** * Konwertuje binarny SID na postać tekstową * @param string $sid binarny SID */ function sid2str($sid) { $v = unpack('Crev/Ccnt/Sx/Nauth/V*sub', $sid); $str = "S-$v[rev]-$v[auth]"; for ($i = 1; $i <= $v['cnt']; $i++) { $str .= '-' . $v["sub$i"]; } return $str; } /** * Konwertuje ciąg znaków na binarny SID * @param string $sidstr SID jako ciąg znaków */ function str2sid($sidstr) { $v = explode('-', $sidstr); $cnt = count($v) - 3; $sid = pack('CCSN', $v[1], $cnt, 0, $v[2]); for ($i = 0; $i < $cnt; $i++) { $sid .= pack('V', $v[$i + 3]); } return $sid; }

PLB — konwersja znacznika czasu Windows w PHP Znaczniki czasu Windows używane w Active Directory mają w porównaniu ze znacznikami czasu PHP wyższą rozdzielczość (100 nanosekund zamiast 1 sekundy) i wcześniejszy punkt zerowy (1601 zamiast 1970). Na listingu 17.22 pokazana jest funkcja konwersji znacznika czasu. Ponieważ liczby całkowite w PHP są liczbami 32-bitowymi, natomiast znaczniki czasu w Windows mają 64 bity, więc dodawanie i odejmowanie jest realizowane za pomocą biblioteki BCMath dostępnej w PHP dla Windows. LISTING 17.22. AD_util.php — konwersja znacznika czasu Windows /** * konwertuje znacznik czasu Windows na ciąg znaków * @param string $stamp znacznik czasu Windows */ function winStamp2str($stamp) {

444 CZĘŚĆ III Active Directory if (!$stamp) { return 'nieznany'; } elseif ($stamp == '9223372036854775807') { return 'nigdy'; } $stamp = substr($stamp, 0, -7); // 100ns -> s $stamp = bcsub($stamp, '11644473600'); // 1601 -> 1970 return date('Y-m-d H:i:s O', $stamp); } /** * Konwertuje czas Unix (time()) na znacznik czasu Windows * @param int $stamp czas Unix (sekundy od 1970) */ function time2winStamp($stamp) { if (!$stamp) { return '0'; } elseif ($stamp == 0xffffffff) { return '9223372036854775807'; } $stamp = bcadd($stamp, '11644473600'); // 1970 -> 1601 return $stamp . '0000000'; // s -> 100ns }

PLB — wyświetlanie stanu konta Atrybut userAccountControl obiektu użytkownika zawiera ważne informacje o typie oraz stanie konta użytkownika. Atrybut ten jest maską bitową, której bity zależą od statusu. Na listingu 17.23 zamieszczona jest funkcja zwracająca informacje o interesujących znacznikach. LISTING 17.23. AD_util.php — dane z atrybutu userAccountControl /** * Zwraca dodatkowe dane dla UserAccountControl. * @param int $ac Wartość UserAccountControl */ function accountControl2str($ac) { // Lista kilku znaczników, nie jest kompletna static $flags = array( 'ACCOUNTDISABLE' => 0x0002, 'LOCKOUT' => 0x0010, 'PASSWD_NOTREQD' => 0x0020, 'PASSWD_CANT_CHANGE' => 0x0040, 'NORMAL_ACCOUNT' => 0x0200, 'INTERDOMAIN_TRUST_ACCOUNT' => 0x0800, 'WORKSTATION_TRUST_ACCOUNT' => 0x1000, 'SERVER_TRUST_ACCOUNT' => 0x2000, 'DONT_EXPIRE_PASSWORD' => 0x10000, 'PASSWORD_EXPIRED' => 0x800000); $info = array();

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 445 foreach ($flags as $name => $value) { if ($ac & $value) { $info[] = $name; } } return dec2hex($ac) . ' (' . join(', ', $info) . ')'; }

Grupy Grupy (obiekty klasy Group) pozwalają na łączenie innych obiektów (takich jak użytkownicy) w celu ich jednoczesnego przetwarzania. Istnieją dwa typy grup: grupy zabezpieczeń oraz grupy dystrybucyjne. Możesz przydzielać uprawnienia grupom zabezpieczeń, co pozwala na nadawanie uprawnień do plików oraz witryn. Grupy dystrybucyjne nie mogą posiadać uprawnień dostępu, ponieważ są one głównie używane do tworzenia pocztowych list dystrybucyjnych w Active Directory. Ponieważ grupy mogą zawierać inne grupy, powstaje hierarchia grup. W przeciwieństwie do jednostek organizacyjnych hierarchia grup jest tworzona z użyciem atrybutów member oraz memberOf, a nie względem położenia w katalogu. W tabeli 17.10 zamieszczone są atrybuty grup. TABELA 17.10. Atrybuty grup w Active Directory

Atrybut

Opis

cn, name

Nazwa grupy (atrybut name zawiera nazwę RDN).

description

Ogólny opis.

groupType

Maska bitowa: • ustawiony bit 80000000 : grupa zabezpieczeń (SECURITY_ENABLED), w przeciwnym razie hex

grupa dystrybucyjna (dla poczty elektronicznej), • ustawiony bit 02 : globalny zasięg grupy (ACCOUNT_GROUP), • ustawiony bit 04 : lokalny zasięg grupy (RESOURCE_GROUP), • ustawiony bit 08 : uniwersalny zasięg grupy (UNIVERASL_GROUP). hex

hex

hex

mail

Adres e-mail grupy dystrybucyjnej.

member

Nazwy DN członków grupy (bezpośrednich).

memberOf

Nazwy DN grup, których grupa jest (bezpośrednim) członkiem.

objectSid

SID w formacie binarnym.

sAMAccountName

Nazwa grupy (dla systemów wcześniejszych niż Windows 2000) może różnić się od cn/name.

446 CZĘŚĆ III Active Directory

PLB — wyszukiwanie grup Aby użyć aplikacji PLB do wyszukiwania obiektów grup, dodaj wpisy z listingu 17.24 do pliku browse_ldap_types.php. LISTING 17.24. browse_ldap_types.php — wyszukiwanie obiektów grup $objectClasses = array( // ... 'group' => array( 'name' => 'Grupa', 'baseDN' => $rootDN, 'filter' => '(&(objectCategory=Group)(name=%s))', 'attributes' => array( 'name', 'sAMAccountName', 'member', 'memberOf', 'objectCategory', 'objectClass', 'groupType', 'objectGUID', 'objectSid', 'mail') ), ); $attributeConvertion = array( // ... 'member' => 'DN-object', 'groupType' => 'groupType2Str', );

PLB — wyświetlanie typu grupy Atrybut groupType zawiera ważne informacje na temat typu grupy. Funkcja zamieszczona na listingu 17.25 dodaje do aplikacji PLB dodatkowe informacje o atrybutach, bazujące na informacji z tabeli 17.10. LISTING 17.25. AD_util.php — dane na temat typu grupy /** * Zwraca dodatkowe informacje dla groupType. * @param int $type Wartość atrybutu groupType */ function groupType2str($type) { static $flags = array( 'SECURITY ENABLED' => 0x80000000, 'ACCOUNT_GROUP' => 0x02, 'RESOURCE_GROUP' => 0x04, 'UNIVERSAL_GROUP' => 0x08, ); $info = array(); foreach ($flags as $name => $value) { if ($type & $value) { $info[] = $name; } } return dec2hex($type) . ' (' . join(', ', $info) . ')'; }

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 447

Jednostki organizacyjne Jednostki organizacyjne (klasa OrganizationalUnit) są ogólnymi elementami strukturalnymi Active Directory. W przeciwieństwie do grup jednostki organizacyjne pozwalają tworzyć hierarchię w drzewie katalogu. Nazwa jednostki organizacyjnej staje się częścią nazwy DN wszystkich podrzędnych obiektów (część ou w nazwie DN). Jednostki organizacyjne wraz z organizacjami (klasa Organization) oraz krajem (klasa Country) tworzą klasyczną hierarchię usług katalogowych standardu X.500. W Active Directory jednostki organizacyjne stały się ważniejsze: mogą być one bazą dla zasad grupy. Dodatkowo mogą być wykorzystywane przy konfiguracji zabezpieczeń i administracji. W tabeli 17.11 wymieniono kilka atrybutów jednostki organizacyjnej. Najważniejszym atrybutem jest ou, ponieważ określa nazwę jednostki oraz pojawia się w nazwach DN wszystkich obiektów podrzędnych wobec jednostki organizacyjnej. TABELA 17.11. Atrybuty jednostki organizacyjnej

Atrybut

Opis

Description

Ogólny opis.

ou, name

Nazwa jednostki organizacyjnej (atrybut name zawiera nazwę RDN).

street, postOfficeBox, postalCode, l, st, c, co, countryCode

Te same składniki adresu pocztowego co w tabeli 17.8, ale atrybutem dla ulicy jest street zamiast streetAddress.

Aby użyć aplikacji PLB do wyszukiwania obiektów jednostek organizacyjnych, dodaj wpisy z listingu 17.26 do pliku browse_ldap_types.php. Na rysunku 17.4 pokazany jest wynik wyszukiwania jednostki organizacyjnej. LISTING 17.26. browse_ldap_types.php — wyszukiwanie jednostek organizacyjnych $objectClasses = array( // ... 'organizationalUnit' => array( 'name' => 'Organizational Unit', 'baseDN' => $rootDN, 'filter' => '(&(objectClass=organizationalUnit)(ou=%s))', 'attributes' => array( 'ou', 'name', 'description', 'objectCategory', 'objectClass', 'objectGUID') ), );

448 CZĘŚĆ III Active Directory

RYSUNEK 17.4. Szczegółowy widok jednostki organizacyjnej

Konkretne przykłady wyszukiwania W tym podrozdziale przedstawię kilka konkretnych przykładów wyszukiwania, szczególnie użytkowników i grup. Ponadto zaprezentuję wartości ANR łączące najważniejsze atrybuty. Aby użyć tych przykładów w przeglądarce PHP LDAP, dodaj odpowiednie wpisy do pliku browse_ldap_types.php.

Schemat Wyszukiwanie w schemacie powinno zawsze zaczynać się od głównego adresu DN CN=Schema,CN=Configuration,DC=…,DC=…. Ponieważ hierarchia jest płaska (wszystkie atrybuty oraz klasy znajdują się jeden poziom niżej), można korzystać z funkcji ldap_list() zamiast ldap_search(). Skonfiguruj przeszukiwanie schematu w aplikacji PLB w następujący sposób: $objectClasses = array( // ... '' => array( 'name' => '', 'filter' => '', 'base' => '< classSchema | attributeSchema >', ), );

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 449

Ustaw parametr base zgodnie z oczekiwanymi wynikami (klasy atrybutów lub obiektów). Jeżeli użyjesz parametru base, nie musisz określać listy atrybutów oraz bazowej nazwy DN. Atrybuty W klasie obiektu, w atrybutach mustContain oraz mayContain, można znaleźć definicję, które atrybuty musi posiadać obiekt oraz które może posiadać. Dzięki nim można wykonać odpowiednie wyszukiwanie. Wyszukiwanie. Znajdź wszystkie klasy obiektów posiadających dany atrybut: (&(objectCategory=classSchema)(|(mustContain=%s)(systemMustContain=%s)))

Objaśnienie. Ponieważ atrybut może być zdefiniowany w mustContain lub systemMustContain, użyty został operator OR. Atrybut objectCategory nie jest tu krytyczny, ponieważ tylko klasy obiektów mają zdefiniowane atrybuty. Wyszukiwanie. Znajdź wszystkie klasy obiektów, które mogą posiadać określony atrybut: (&(objectCategory=classSchema) (|(mayContain=%s)(systemMayContain=%s)(mustContain=%s)(systemMustContain=%s)))

Objaśnienie. Format jest identyczny jak w poprzednim wyszukiwaniu, ale korzysta z atrybutów mayContain oraz systemMayContain. UWAGA Oba zapytania zwracają tylko klasy obiektów, dla których atrybut jest ustawiony. Dzięki

dziedziczeniu inne klasy obiektów mogą również używać tych atrybutów. Jednak znalezienie tych klas w LDAP nie jest możliwe.

Wyszukiwanie. Znajdź wszystkie możliwe atrybuty danego obiektu: ldap_read($ldaplink, $objectDN, '(objectClass=*)', array('allowedAttributes'));

Objaśnienie. Active Directory pozwala na to wyszukiwanie z użyciem wyliczanego atrybutu allowedAttributes. Wyszukiwanie nie jest wykonywane w schemacie, ale dla wybranego obiektu (domeny), jak jest to pokazane w przykładowym wyszukiwaniu z użyciem ldap_read(). Wyszukiwanie. Znajdź wszystkie atrybuty, jakie są ustawione w danym obiekcie: ldap_read($ldaplink, $objectDN, '(objectClass=*)', array('allowedAttributesEffective'));

Objaśnienie. allowedAttributesEffective — w przeciwieństwie do allowedAttributes — zawiera tylko zapisywalne atrybuty. Na przykład obiekt użytkownika może mieć 350 atrybutów. Administrator domeny może ustawić lub zmienić 285 atrybutów, a ponad 50 może być ustawianych lub zmienianych przez użytkownika. Użytkownicy bez specjalnych uprawnień nie mogą zmieniać atrybutów. Wyszukiwanie. Znajdź wszystkie atrybuty wchodzące w skład katalogu globalnego: (&(objectCategory=attributeSchema) (|(isMemberOfPartialAttributeSet=TRUE)(systemFlags:1.2.840.113556.1.4.804:=2)))

450 CZĘŚĆ III Active Directory

Objaśnienie. Atrybuty są zapisywane w katalogu globalnym, jeżeli ustawiony jest atrybut isMemberOfPartialAttributeSet lub w atrybucie systemFlags ustawiony jest znacznik o wartości 2. Wyszukiwanie. Znajdź wszystkie atrybuty, które są automatycznie wyliczane: (&(objectCategory=attributeSchema)(systemFlags:1.2.840.113556.1.4.804:=4))

Objaśnienie. Niektóre atrybuty nie są zapisywane w katalogu, ale automatycznie wyliczane na podstawie innych atrybutów. Przykładem jest allowedAttributes. Nie należy mylić atrybutów wyliczanych z atrybutami ustawianymi automatycznie (na przykład lastLogonTimestamp), których wartości są przechowywane w Active Directory. Klasy obiektów W przypadku klas obiektów zasady struktury (określające, jaki obiekt może być nadrzędny, a jaki podrzędny) mogą być bezpośrednio odczytane z atrybutów possSuperiors, systemPossSuperiors oraz possibleInferiors. W przypadku hierarchii dziedziczenia atrybut subClassOf zawiera klasy, z których dziedziczy bieżący obiekt. W przeciwnym razie niezbędne jest wyszukiwanie. Wyszukiwanie. Znajdź wszystkie klasy obiektów dziedziczące bezpośrednio po klasie obiektu: (&(objectCategory=classSchema)(subClassOf=%s))

Objaśnienie. Choć bezpośrednio dziedziczące klasy są łatwe do wyszukania, nie można wyświetlić wszystkich dziedziczonych klas w hierarchii. Jedynym sposobem jest rekurencyjne przeszukiwanie drzewa (nie można użyć rekurencyjnego operatora 1.2.840.113556.1.4.1941, ponieważ objectClass nie jest nazwą DN, a wartością OID). Wyszukiwanie. Znajdź wszystkie klasy abstrakcyjne (=2), dodatkowe (=3) lub 88 (=0): (objectClassCategory=%s)

Mechanizm ANR ANR jest mechanizmem Active Directory pozwalającym na proste i szybkie przeszukiwanie najważniejszych pól nazw. Przeszukiwane są następujące atrybuty: name, sn, displayName, givenName oraz sAMAccountName. Wyszukiwanie z użyciem mechanizmu rozpoznawania niejednoznacznych nazw rozpoczyna się przy użyciu wirtualnego atrybutu filtra anr: (anr=Tomasz Chomik)

Wyszukiwanie w atrybutach ANR jest realizowane w następujący sposób: „

We wszystkich atrybutach realizowane jest wyszukiwanie wzorca Tomasz Chomik*.

„

W przypadku imienia i nazwiska (givenName, sn) wyszukiwany ciąg jest dzielony na dwie części w miejscu umieszczenia spacji i wykonywane jest następujące wyszukiwanie: (|(&(givenName=Tomasz*)(sn=Chomik*))(&(givenName=Chomik*)(sn=Tomasz*)))

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 451

Przy użyciu atrybutu wirtualnego anr możesz tworzyć proste i efektywne filtry. Aby znaleźć wszystkie atrybuty wchodzące w skład ANR, użyj następującego filtra: (&(objectCategory=attributeSchema)(searchFlags:1.2.840.113556.1.4.803:=5))

Filtr ten korzysta z bitowego operatora AND i sprawdza, czy atrybut searchFlags posiada indeks (1) oraz jest w zbiorze atrybutów ANR (4). W Windows Server 2008 R2 w skład ANR wchodzą następujące atrybuty: name, sn, displayName, givenName, sAMAccountName, legacyExchangeDN, physicalDeliveryOfficeName, proxyAddresses, msDSAdditionalSamAccountName, msDSPhoneticCompanyName, msDSPhoneticDepartment, msDSPhoneticDisplayName, msDSPhoneticFirstName, msDSPhoneticLastName.

Użytkownicy Obiekty użytkowników w Active Directory są zawsze odpytywane w kontekście nazewnictwa domeny (DC=xmp,DC=site). Skonfiguruj wyszukiwanie użytkowników w aplikacji PLB w następujący sposób: $objectClasses = array( // ... '' => array( 'name' => '', 'filter' => '', 'base' => 'user', ), );

Wyszukiwanie. Znajdź użytkowników utworzonych przed określoną datą: (&(objectCategory=Person)(objectClass=user)(whenCreated<=%s)

Objaśnienie. Active Directory automatycznie ustawia atrybut whenCreated w momencie utworzenia obiektu użytkownika. Użyty znacznik czasu jest zapisany w formacie YYYYMMDDhhmmss.0Z (Y=rok, M=miesiąc, D=dzień, h=godzina, m=minuta, s=sekunda, Z=strefa czasowa UTC). Wyszukiwanie. Znajdź użytkowników zmienionych po określonej dacie: (&(objectCategory=Person)(objectClass=user)(whenChanged>=%s)

Objaśnienie. Active Directory automatycznie ustawia atrybut whenChanged w momencie modyfikacji obiektu użytkownika. Format znacznika czasu jest taki sam jak w przypadku whenCreated. Wyszukiwanie. Znajdź użytkowników lub komputery, dla których nie jest wymagane hasło lub których hasło nigdy nie wygasa: (&(objectClass=user)(userAccountControl:1.2.840.113556.1.4.804:=65568))

Objaśnienie. Filtr korzysta z bitowego operatora OR w celu znalezienia dwóch znaczników w atrybucie userAccountControl: jeżeli hasło nie jest konieczne (32) lub jeżeli hasło nigdy nie wygasa (65536). Wyszukiwanie to zwraca również obiekty komputerów, ponieważ dziedziczą one po klasie użytkownika.

452 CZĘŚĆ III Active Directory UWAGA Liczby w filtrach LDAP muszą być zawsze dziesiętne. Wartości szesnastkowe znaczników muszą więc zostać skonwertowane.

Wyszukiwanie. Znajdź użytkowników z zablokowanymi lub nieaktywnymi kontami: (&(objectCategory=Person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.804:=18))

Objaśnienie. Filtr korzysta z bitowego operatora OR do znalezienia zablokowanych (16) lub nieaktywnych (2) kont użytkownika. Wyszukiwanie. Znajdź wszystkich użytkowników, którzy nie logowali się od podanej daty: (&(objectCategory=Person)(objectClass=user)(lastLogonTimestamp<=%s))

Objaśnienie. Atrybut lastLogonTimestamp jest ustawiany automatycznie. Jednak musi być tu użyty znacznik czasu Windows. Możesz użyć funkcji time2winStamp() z listingu 17.22 do skonwertowania znacznika czasu PHP time() na znacznik czasu Windows. UWAGA Atrybut lastLogon zawiera również czas ostatniego logowania, ale w przeciwieństwie do lastLogonTimestamp nie jest replikowany do innych kontrolerów domeny.

Wyszukiwanie. Znajdź wszystkich użytkowników, którzy się nigdy nie zalogowali: (&(objectCategory=Person)(objectClass=user)(!(lastLogonTimestamp=*)))

lub (&(objectCategory=Person)(objectClass=user)(lastLogon=0))

Objaśnienie. Jeżeli użytkownik się nigdy nie logował, atrybut lastLogon ma wartość 0, a lastLogonTimestamp nie jest ustawiony. Jeżeli utworzysz odpowiednią pozycję w pliku browse_ldap_types.php, wynik będzie wyglądał podobnie jak na rysunku 17.5.

RYSUNEK 17.5. PLB — lista wszystkich użytkowników, którzy się nigdy nie zalogowali

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 453

Grupy Obiekty grup w Active Directory są zawsze odpytywane w kontekście nazewnictwa domeny (DC=xmp,DC=site). Skonfiguruj wyszukiwanie użytkowników w aplikacji PLB w następujący sposób: $objectClasses = array( // ... '' => array( 'name' => '', 'filter' => '', 'base' => 'group', ), );

Wyszukiwanie. Znajdź wszystkie grupy dystrybucyjne: (&(objectCategory=Group)(!(groupType:1.2.840.113556.1.4.803:=2147483648)))

Objaśnienie. Operator bitowy pozwala sprawdzić, czy ustawiony jest bit grupy zabezpieczeń (80000000hex=2147483648). Jeżeli bit nie jest ustawiony, jest to grupa dystrybucyjna. Sprawdzanie członkostwa z użyciem atrybutów member i memberOf Atrybuty member oraz memberOf pozwalają na sprawdzanie członkostwa w grupach. Wyszukiwanie. Znajdź grupy nieposiadające członków: (&(objectCategory=Group)(!(member=*)))

Objaśnienie. Atrybut member zawiera członków grupy. Za pomocą member=* sprawdzamy, czy atrybut istnieje; za pomocą (!(member=*)) sprawdzamy, czy atrybut nie istnieje (grupa nie ma członków). Wyszukiwanie. Znajdź wszystkie grupy zawierające określonego członka: (&(objectCategory=Group)(member:1.2.840.113556.1.4.1941:=%s))

Objaśnienie. Aby znaleźć wszystkie grupy, których użytkownik jest bezpośrednim członkiem, możesz odpytać atrybut member. Jeżeli chcesz znaleźć wszystkie grupy, w tym grupy, w których jest on członkiem pośrednio poprzez uczestnictwo w innych grupach (hierarchia grup), musisz przeszukać drzewo rekurencyjnie. Zadanie to jest realizowane przez operator rekurencyjny. Sprawdza on wartości atrybutów member i rekurencyjnie sprawdza powiązane obiekty. Jeżeli wymagany obiekt użytkownika zostanie znaleziony w atrybucie member, zwracana jest ścieżka przeszukiwania. Jednak operator rekurencji działa wyłącznie na atrybutach zawierających nazwy DN. Parametr wyszukiwania (%s) musi być również pełną nazwą DN użytkownika — na przykład CN=Agnieszka Bobak,OU=Technology,OU=AdventureWorks,DC=xmp,DC=site. WSKAZÓWKA Z powodów wydajnościowych główny DN nie powinien być kontekstem domeny, ale kontekstem nadrzędnym grupy.

454 CZĘŚĆ III Active Directory

Wyszukiwanie. Znajdź wszystkich członków grupy: (&(objectCategory=Person)(memberOf:1.2.840.113556.1.4.1941:=%s))

Objaśnienie. Możesz również szukać wszystkich członków, w tym pośrednich, korzystając z operatora rekurencyjnego dla atrybutu memberOf. Jako parametr powinieneś podać pełną nazwę DN grupy. Po dołączeniu objectCategory=Person wynik będzie ograniczony do obiektów użytkowników. Komputery i inne grupy nie zostaną wyświetlone. Aby znaleźć członków dowolnego typu, usuń tę część filtra. (memberOf:1.2.840.113556.1.4.1941:=%s)

WSKAZÓWKA Z powodów wydajnościowych główny DN nie powinien być kontekstem domeny, ale kontekstem nadrzędnym członków.

Wyszukiwanie. Sprawdź, czy użytkownicy są członkami grupy: $r = ldap_read($ldapLink, $userDN, "(memberOf:1.2.840.113556.1.4.1941:=$groupDN)"); if (ldap_count_entries($ldapLink, $r)) { // Użytkownik jest członkiem }

Objaśnienie. Wyszukiwanie to jest identyczne jak wcześniej opisane. Jednak z powodów wydajnościowych główny DN jest ustawiony na użytkownika i za pomocą ldap_read() pobierani są tylko użytkownicy, więc nie jest przeszukiwane całe poddrzewo za pomocą ldap_search(). Jeżeli wyszukiwanie zwróci wynik, użytkownik ($userDN) jest członkiem grupy ($groupDN). Sprawdzanie członkostwa z użyciem atrybutu primaryGroupID Członkostwo w grupie może być również sygnalizowane za pomocą atrybutu primaryGroupID. Na przykład grupy systemowe, takie jak użytkownicy domeny oraz komputery domeny, korzystają z tej metody do oznaczania członkostwa. Z tego powodu grupy mogą mieć wielu członków i przekraczać maksymalną liczbę wartości atrybutu. Atrybut primaryGroupID członków zawiera identyfikator względny (RID) grupy. Wartość RID to ostatnia liczba z identyfikatora SID: SID użytkownika: S-1-5-21-1465576585-1264251571-1973391373-1108 RID domeny: S-1-5-21-1465576585-1264251571-1973391373 RID użytkownika: 1108

RID domeny jest identyczny we wszystkich obiektach domeny. Członkostwo poprzez atrybut primaryGroupID jest możliwe wyłącznie w tej samej domenie. Uzbrojony w tę wiedzę powinieneś być w stanie napisać zapytania (aby zachować jasność, obsługa błędów została pominięta).

ROZDZIAŁ 17. Wyszukiwanie w Active Directory 455

Wyszukiwanie. Na listingu 17.27 przedstawiony jest sposób wyszukania wszystkich użytkowników z ustawioną grupą główną. LISTING 17.27. Wyszukiwanie wszystkich członków z ustawioną grupą główną // Odczyt SID grupy $result = ldap_read($ldapLink, $groupDN, '(objectSid=*)', array('objectSid')); $entry = ldap_first_entry($ldapLink, $result); $attr = ldap_get_attributes($ldapLink, $entry); // Odczyt RID $sid = sid2str($attr['objectSid'][0]); preg_match('/(\d+)$/', $sid, $match); $rid = $match[1]; // Wyszukanie członków $result = ldap_search($ldapLink, $baseDN, '(primaryGroupID=$rid)', $attributeList);

Objaśnienie. Na początek pobierany jest SID grupy. Jeżeli SID jest już znany, możesz pominąć ten krok. Funkcja sid2str() z listingu 17.21 konwertuje SID na ciąg znaków, a RID jest identyfikowany za pomocą funkcji preg_match(). Po pobraniu tych danych możesz wykonać normalne wyszukiwanie LDAP. Wystarczy zdefiniować filtr i ustawić bazową nazwę DN. Wyszukiwanie. Na listingu 17.28 pokazany jest sposób wyszukania głównej grupy obiektu. LISTING 17.28. Wyszukiwanie głównej grupy obiektu // Pobieranie SID oraz primaryGroupID obiektu ($entryDN) $result = ldap_read($ldapLink, $entryDN, '(objectSid=*)', array('objectSid','primaryGroupID')); $entry = ldap_first_entry($ldapLink, $result); $attr = ldap_get_attributes($ldapLink, $entry); $sid = sid2str($attr['objectSid'][0]); $pgid = $attr['primaryGroupID'][0]; // Odczyt SID grupy $grSidStr = preg_replace('/\d+$/', $pgid, $sid); // Przygotowanie filtra wyszukiwania w LDAP $grSid = str2sid($grSidStr); $searchsid = preg_replace('/(..)/', '\\\\$1', bin2hex($grSid)); // Wyszukiwanie grupy $result = ldap_search($ldapLink, $baseDN, "(objectSid=$searchsid)", $attributeList);

Objaśnienie. Na początek odczytywane są wartości SID oraz primaryGroupID obiektu. Oba te składniki są łączone za pomocą preg_replace(), co tworzy pełny SID grupy. Aby użyć SID w filtrze LDAP, musisz skonwertować go na postać binarną, korzystając z funkcji str2sid() z listingu 17.21. Ponieważ dane binarne mogą zawierać niewłaściwe znaki, po prostu zamaskuj cały SID ($searchsid). Po zamaskowaniu SID możesz wykonać normalne wyszukiwanie LDAP.

456 CZĘŚĆ III Active Directory

Podsumowanie Active Directory posiada rozbudowany schemat pozwalający na przechowywanie danych o użytkownikach, grupach i podmiotach. W tym rozdziale przedstawiłem klasy obiektów i atrybutów, jak również konteksty nazewnictwa i składnię atrybutów. Opis użytkowników, grup i jednostek organizacyjnych, jak również funkcji konwersji, powinien dać Ci solidne podstawy do tworzenia własnych aplikacji korzystających z Active Directory. W następnym rozdziale wyjaśnię, jak zapisywać dane w Active Directory.

Rozdział 18.

Zapisywanie w Active Directory W tym rozdziale: Przygotowanie ...................................................................................................................457 Zapis atrybutów .................................................................................................................464 Praktyczne przykłady zmiany atrybutów ..........................................................................469 Zapisywanie obiektów ......................................................................................................472 Przykłady praktyczne ........................................................................................................477 Podsumowanie ..................................................................................................................480

W tym rozdziale wyjaśnię, jak zmieniać, tworzyć i usuwać obiekty oraz atrybuty obiektów. Dzięki tej wiedzy można obsługiwać zwykłe zdarzenia zachodzące w organizacji, takie jak zatrudnianie i zwalnianie osób, zmiany nazwisk, reorganizacje, awanse, zmiany adresów czy też wymiana komputerów i drukarek. Jednak konto użytkownika, które będzie użyte do utworzenia połączenia Lightweight Directory Access Protocol (LDAP), musi mieć odpowiednie uprawnienia.

Przygotowanie Zanim użyjemy aplikacji PHP do wprowadzania zmian w Microsoft Active Directory, konieczne jest nadanie obiektowi użytkownika używanemu w PHP odpowiednich uprawnień, ponieważ bez nich użytkownik będzie w stanie zmieniać wyłącznie własne obiekty. Jeżeli piszesz kod, powinieneś również włączyć rejestrowanie błędów na serwerze. Jeżeli chcesz użyć przykładów z tego rozdziału do pisania własnego kodu, musisz wprowadzić w nich kilka zmian.

Prawa dostępu Choć uwierzytelniony użytkownik jest w stanie przeczytać (niemal) wszystkie obiekty z Active Directory, to tylko niektórzy użytkownicy mają uprawnienia do modyfikowania tych obiektów. Możliwość zapisu obiektów w Active Directory ma daleko idące konsekwencje. W Active Directory uprawnieniami dla wszystkich podmiotów zarządza się w jednej domenie; dlatego pełne uprawnienia zapisu są porównywalne z uprawnieniami administratora domeny.

458 CZĘŚĆ III Active Directory

Z tego powodu użytkownicy mogą zmieniać wyłącznie atrybuty własnych obiektów, a nie mogą zmieniać atrybutów obiektów innych użytkowników lub właścicieli obiektów. Grupy administracyjne Instalator Active Directory tworzy kilka grup administracyjnych z różnymi uprawnieniami dostępu: „

Operatorzy kont tworzą, zmieniają lub usuwają użytkowników, grupy oraz komputery.

„

Administratorzy mają pełny dostęp do wszystkich obiektów w domenie. W skład tej grupy wchodzą na przykład administratorzy domeny oraz administratorzy przedsiębiorstwa.

„

Operatorzy drukowania tworzą, modyfikują lub usuwają drukarki.

„

Administratorzy domeny mają pełny dostęp do wszystkich obiektów w domenie.

„

Administratorzy przedsiębiorstwa mają pełny dostęp do wszystkich obiektów w lesie Active Directory.

Aby przydzielić użytkownikowi PPH uprawnienia do zapisu, możesz dodać go do jednej z wymienionych powyżej grup (na przykład do grupy operatorów kont). Możesz również nadać prawa bezpośrednio do obiektu. Zmiana uprawnień do obiektu Aby nadać użytkownikowi PHP (lub zdefiniowanej grupie) uprawnienia wyłącznie do określonego obiektu lub części hierarchii Active Directory, użyj listy kontroli dostępu (ACL) dla tego obiektu. Proces zmiany uprawnień jest następujący: 1. Kliknij przycisk Start, wybierz Narzędzia administracyjne, a następnie uruchom Edytor EDSI

lub otwórz program Microsoft Management Console (MMC) i dodaj do niego przystawkę Użytkownicy i komputery usługi Active Directory. 2. W konsoli MMC, w menu Widok, kliknij Funkcje zaawansowane. 3. Aby sprawdzić atrybuty obiektu, kliknij go prawym przyciskiem myszy, a następnie wybierz

Właściwości z menu kontekstowego. 4. Na zakładce Zabezpieczenia kliknij Dodaj, aby dodać użytkownika lub grupę. Wybierz podmiot

z okna dialogowego, a następnie kliknij OK. 5. W liście Uprawnienia wybierz opcję zapisu lub pełnego dostępu do obiektu. 6. Aby nadać dokładniejsze uprawnienia lub upewnić się, że uprawnienia zostały

odziedziczone przez wszystkie obiekty podrzędne, kliknij Zaawansowane. Zostanie otwarte okno Zaawansowane ustawienia zabezpieczeń, jak jest to pokazane na rysunku 18.1. 7. Wybierz pozycję użytkownika do modyfikacji, a następnie kliknij Edytuj.

Zostanie otwarte okno dialogowe Wpis uprawnienia, w którym można nadać pojedyncze uprawnienia.

ROZDZIAŁ 18. Zapisywanie w Active Directory 459

RYSUNEK 18.1. Edycja uprawnień dostępu do obiektów Active Directory

8. Z listy Zastosuj do wybierz, jakim obiektom chcesz nadać uprawnienia: Tylko ten obiekt

lub Ten obiekt i wszystkie obiekty zależne. 9. Kliknij OK, aby zamknąć wszystkie okna dialogowe i zastosować zmiany. UWAGA Nadawaj wyłącznie niezbędne uprawnienia (takie jak możliwość zapisu wszystkich uprawnień), które są wymagane do działania Twojej aplikacji. Nie powinieneś nadawać pełnego dostępu.

Rejestrowanie błędów Komunikaty zwracane przez funkcje ldap_errno() oraz ldap_error() są czasami niewystarczające do zidentyfikowania przyczyny błędu. W tym przypadku można włączyć rejestrowanie błędów w Active Directory przez wykonanie przedstawionej poniżej procedury. 1. Kliknij przycisk Start i w polu Wyszukaj programy i pliki wpisz regedit. 2. W edytorze rejestru przejdź do klucza HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\NTDS\Diagnostic.

460 CZĘŚĆ III Active Directory 3. Wpisz jedną z poniższych wartości dla 16 LDAP Interface Events: „

0 (None) — domyślne ustawienie, rejestrowanie wyłącznie krytycznych zdarzeń i błędów.

„

1 (Minimal) — rejestruje również ważne zdarzenia.

„

2 (Basic) — rejestruje ważne zdarzenia i ostrzeżenia.

„

3 (Extensive) — rejestruje kroki prowadzące do wykonania żądania.

„

4 (Verbose) — jeszcze więcej informacji.

„

5 (Internal) — rejestruje wszystkie zdarzenia, czasami z dodatkowymi informacjami.

Poziom trzeci jest zwykle wystarczający do szukania błędów. Aby przejrzeć zdarzenia, otwórz aplikację Podgląd zdarzeń (kliknij Start/Narzędzia administracyjne/ Podgląd zdarzeń), a następnie wybierz Podgląd zdarzeń/Widoki niestandardowe/Role serwera/ Usługi domenowe w usłudze Active Directory. Jak jest to pokazane na rysunku 18.2, przeglądarka zawiera listą zdarzeń oraz krótki i szczegółowy opis zdarzenia (odpowiednio zakładki Ogólne i Szczegóły).

RYSUNEK 18.2. Pogląd zdarzeń z komunikatem błędu z interfejsu LDAP

ROZDZIAŁ 18. Zapisywanie w Active Directory 461

Skrypty pomocnicze Przykłady z tego rozdziału korzystają ze skryptów pomocniczych w celu zapewnienia spójnego interfejsu. Kilka funkcji zostało również dodanych do istniejących skryptów, klasy LDAPConnection oraz pliku AD_util.php. Główny program Główny program (modify_ldap.php) dla przykładów z tego rozdziału jest zamieszczony na listingu 18.1. Program ten dołącza przykładowe skrypty wprowadzające zmiany w Active Directory. LISTING 18.1. modify_ldap.php — bazowy program dla przykładów z tego rozdziału connect('doco-exch.xmp.site', '[email protected]', 'confidential'); $ad->baseDN = 'DC=xmp,DC=site'; // Wprowadzenie zmian $before = $ad->getAccount($accountName, $attributes); modify($ad, $before); $after= $ad->getAccount($accountName, $attributes); // Wyświetlenie zmian $table = formatChangedEntry($before, $after); $html->addElement('h2', $before['dn']); $html->addTable($table, array(true, true, true)); $html->printPage(); function formatChangedEntry($beforeEntry, $afterEntry) { // Formatowanie obiektu $bf = new LDAPEntryFormatter($beforeEntry, 'object', 'browse_ldap.php'); $beforeHTML = $bf->getAttributes(); $af = new LDAPEntryFormatter($afterEntry, 'object', 'browse_ldap.php'); $afterHTML = $af->getAttributes(); // Łączenie obiektów $values = array(); for ($i=1; $i
462 CZĘŚĆ III Active Directory } $table = array( array('Atrybut', 'Przed', 'Po') ); $notset = 'nie ustawiony'; foreach ($values as $attribute => $value) { $before = isset($value['before']) ? $value['before'] : $notset; $after = isset($value['after']) ? $value['after'] : $notset; $table[] = array($attribute, $before, $after); } return $table; } ?>

Program ten tworzy połączenie jako administrator z wymaganymi uprawnieniami. Może on również użyć dowolnego innego konta, które ma wymagane uprawnienia. Program pobiera obiekty z Active Directory przed i po wywołaniu funkcji modify() (modify() wchodzi w skład integrowanych skryptów). Następnie zmiany są wyświetlane. Funkcja formatChangedEntry() łączy ze sobą obiekty przed i po modyfikacji. Klasa LDAPConnection Do klasy LDAPCoonnection dodałem dwie metody i jeden atrybut, co jest pokazane na poniższym listingu 18.2. Ponieważ najczęściej dane w istniejących obiektach muszą być odczytane przed wprowadzeniem zmian, metoda getOneEntry() zajmuje się wyszukiwaniem i obsługą błędów i zwraca albo atrybuty jako tablicę wartości, albo wartość false. Metoda getAccount() jest metodą pomocniczą, która tworzy filtr w przypadku wyszukiwania nazw kont Security Accounts Manager (w przypadku użytkowników, grup lub komputerów). Jeżeli ustawisz atrybut $baseDN przed wywołaniem obu metod, wartość ta będzie używana jako domyślna. LISTING 18.2. Rozszerzenie klasy LDAPConnection class LDAPConnection { // ... public $baseDN = ''; // ... /** * Pobieranie obiektu z nazwą konta SAM * @param string $account Nazwa konta SAM * @param array $attributes Żądane atrybuty * @param string $baseDN Główna nazwa DN dla wyszukiwania */ function getAccount($account, $attributes=array(), $baseDN='') { $filter = '(sAMAccountName=' . escapeLDAP($account) . ')'; $account = $this->getOneEntry($filter, $attributes, $baseDN); if (!$account) { $this->exitWithError('Konto nie zostało znalezione.'); } return $account;

ROZDZIAŁ 18. Zapisywanie w Active Directory 463 } /** * Pobieranie wyszukanego obiektu * @param string $filter Ciąg filtra * @param array $attributes Żądane atrybuty * @param string $baseDN Główna nazwa DN dla wyszukiwania */ function getOneEntry($filter, $attributes=array(), $baseDN='') { if (empty($baseDN)) { $baseDN = $this->baseDN; } $result = ldap_search($this->handle, $baseDN, $filter, $attributes); if (!$result) { return false; } $entry = ldap_first_entry($this->handle, $result); if (!$entry) { return false; } $attr = ldap_get_attributes($this->handle, $entry); if (!$attr) { return false; } $attr['dn'] = ldap_get_dn($this->handle, $entry); return $attr; } }

Skrypt AD_util .php Na listingu 18.3 zamieszczona jest funkcja escapeLDAP(), która maskuje znaki specjalne w ciągu filtra. Została ona dodana do skryptu AD_util.php. Znak gwiazdki nie jest maskowany. LISTING 18.3. AD_util.php — funkcja do maskowania znaków specjalnych filtra /** * Maskuje ciąg filtra wyszukiwania * @param string $str Filtr do zamaskowania */ function escapeLDAP($str) { return preg_replace_callback('/[^-\w\s=,.*]/', function($m) { return '\\' . bin2hex($m[0]); }, $str); }

464 CZĘŚĆ III Active Directory

Zapis atrybutów Pierwszą modyfikacją, jaką wprowadzimy do danych zapisywanych w Active Directory, będzie zmiana, dodanie i usunięcie atrybutów. Przy użyciu PHP można w ten sposób zmieniać takie właściwości obiektów, jak adres użytkownika.

Dodawanie atrybutów Aby dodać atrybuty lub wartości atrybutu do istniejącego obiektu, użyj funkcji ldap_mod_add(). Oprócz zasobu połączenia do funkcji tej trzeba przekazać nazwę wyróżniającą (DN) obiektu, jak również tablicę asocjacyjną zawierającą nowe atrybuty. Przykład jest pokazany na listingu 18.4. Na listingu tym do obiektu użytkownika dodawana jest ulica (streetAddress), kod pocztowy (postalCode), lokalizacja (l), jak również kilka adresów WWW. Jeżeli do atrybutu przekazywanych jest kilka wartości, muszą być one umieszczone w tablicy. LISTING 18.4. ldap_add_attributes.php — dodawanie atrybutów do obiektu handle, $entry['dn'], $newattr); if (!$success) { $ad->exitWithError('Dodanie atrybutów nie powiodło się.'); } } ?>

Na rysunku 18.3 przedstawiony jest wynik prawidłowego wykonania funkcji: atrybuty streetAddress, postalCode oraz l są ustawione, a do atrybutu url, który może posiadać wiele wartości, dodane zostały adresy.

ROZDZIAŁ 18. Zapisywanie w Active Directory 465

RYSUNEK 18.3. Dodawanie atrybutów do obiektu użytkownika

Funkcja ldap_mod_add() nie może dodać atrybutów i wartości atrybutów, jeżeli: „

atrybut może mieć tylko jedną wartość i jest ona już ustawiona,

„

nowa wartość atrybutu z wieloma wartościami już istnieje,

„

nowa wartość nie jest zgodna z zasadami składni dla atrybutu.

Możesz sprawdzić te warunki przez ponowne uruchomienie przykładowego skryptu. W przypadku powtórnego uruchomienia funkcja ldap_mod_add() zwróci błąd.

Usuwanie atrybutów Aby usunąć atrybuty lub wartości atrybutu z istniejącego obiektu, użyj funkcji ldap_mod_del(). Parametry są podobne jak w funkcji ldap_mod_add(): zasób połączenia, DN obiektu oraz tablica asocjacyjna zawierająca atrybuty i wartości atrybutów do usunięcia. Na listingu 18.5 pokazany jest przykład usuwania atrybutów. Konieczne jest podanie wartości usuwanych atrybutów. Jeżeli podana wartość będzie taka sama jak wartość w Active Directory, funkcja ldap_mod_del() zwróci błąd. W takim przypadku żaden z atrybutów nie zostanie usunięty, ponieważ operacja usuwania jest atomowa. Jeżeli chcesz usuwać atrybuty niezależnie od ich wartości, należy podać array() jako wartość.

466 CZĘŚĆ III Active Directory LISTING 18.5. ldap_del_attributes.php — usuwanie atrybutów obiektu za pomocą ldap_mod_del() handle, $entry['dn'], $delattr); if (!$success) { $ad->exitWithError('Usunięcie atrybutów nie powiodło się.'); } } ?>

Na rysunku 18.4 przedstawiony jest wynik prawidłowego wykonania funkcji ldap_mod_del(). Można również usunąć pojedynczą wartość atrybutu: tylko dwa z czterech adresów WWW (atrybut url) zostały usunięte.

RYSUNEK 18.4. Usuwanie atrybutów

ROZDZIAŁ 18. Zapisywanie w Active Directory 467

Funkcja ldap_mod_del() nie może usunąć atrybutu i wartości atrybutu, jeżeli: „

atrybut nie jest ustawiony,

„

atrybut ma inną wartość w Active Directory niż w tablicy przekazanej do ldap_mod_del().

Uruchom przykładowy skrypt powtórnie, aby sprawdzić te warunki: przy drugim uruchomieniu ldap_mod_del() zwróci błąd, ponieważ atrybut do usunięcia nie istnieje.

Modyfikowanie atrybutów Aby zmienić atrybuty lub wartości atrybutów w istniejącym obiekcie, użyj funkcji ldap_mod_replace(). Parametrami tej funkcji są zasób połączenia, DN obiektu oraz tablica asocjacyjna zawierająca nowe wartości zmienianych atrybutów. UWAGA Do modyfikowania obiektów PHP posiada alternatywną funkcję ldap_modify(). Choć dokumentacja PHP sugeruje, że działa ona inaczej, to jednak obie te funkcje są identyczne. W tej książce używam ldap_mod_replace(), ponieważ nazwa tej funkcji lepiej opisuje realizowaną operację.

Przykład jest pokazany na listingu 18.6. Na listingu tym nowe wartości atrybutów są zapisywane do tablicy asocjacyjnej, a następnie wywoływana jest funkcja ldap_mod_replace() z odpowiednią nazwą DN. LISTING 18.6. ldap_change_attributes.php — modyfikacja atrybutów za pomocą ldap_mod_replace() handle, $entry['dn'], $changeattr); if (!$success) { $ad->exitWithError('Modyfikacja atrybutów nie powiodła się.'); } } ?>

468 CZĘŚĆ III Active Directory

Na rysunku 18.5 przedstawiony jest wynik działania tej funkcji: „ / — atrybuty z wartościami prostymi są po prostu zamieniane na nowe wartości. „

postalCode — stara i nowa wartość mogą być identyczne; nie został wygenerowany błąd.

„

streetAddress — jeżeli nowa wartość jest pustą tablicą, atrybut jest usuwany.

„

url — stare wartości atrybutów z wieloma wartościami są zamieniane na nowe wartości.

„

postOfficeBox — można ustawić nową wartość.

RYSUNEK 18.5. Modyfikacja atrybutów za pomocą ldap_mod_replace()

Funkcja ldap_mod_replace() jest najbardziej uniwersalna z trzech przedstawionych funkcji operujących na atrybutach. Niezależnie od tego, czy wartości są identyczne lub czy atrybuty już istnieją, czy też muszą być usunięte, ldap_mod_replace() pozwala na wykonanie wszystkich zadań. Jednak należy uważać na atrybuty z wieloma wartościami: wszystkie stare wartości są zastępowane nowymi. Jeżeli chcesz zmodyfikować tylko jedną wartość w liście, musisz wcześniej pobrać pozostałe wartości. Możesz również wykonać taką zmianę za pomocą funkcji ldap_mod_add() i ldap_mod_del().

Kodowanie i zestawy znaków Funkcje atrybutów oczekują nie tylko tego, że wartości będą prawidłowe składniowo, ale również że będą miały prawidłowe kodowanie (korzystały z właściwego zestawu znaków). Do tego momentu ignorowaliśmy ten fakt na przykładowych listingach. Kodowanie jest szczególnie ważne dla atrybutów zawierających ciąg znaków. Active Directory korzysta z czterech różnych składni dla ciągów znaków. W zasadzie wszystkie atrybuty, które mogą zawierać znaki spoza strony kodowej US ASCII zawierają znaki Unicode (attributeSyntax=2.5.5.12, oMSyntax=64).

ROZDZIAŁ 18. Zapisywanie w Active Directory 469

Active Directory oczekuje, że wartości ciągów Unicode będą przekazane jako UTF-8. Jednak PHP korzysta z zestawu znaków ISO-8859-1. Aby prawidłowo przekazać wartości, powinieneś je przekonwertować. Można do tego celu użyć dwóch funkcji PHP: iconv() oraz mb_convert_encoding(). Możesz użyć jednego z poniższych wywołań do konwersji wartości na UTF-8, ale drugie z nich jest dostępne po dodaniu do instalacji PHP rozszerzenia mbstring: $utf8 = iconv('ISO-8859-1', 'UTF-8', $isoText); $utf8 = mb_convert_encoding($isoText, 'UTF-8');

Praktyczne przykłady zmiany atrybutów W czasie zarządzania użytkownikami atrybuty muszą być zmieniane z wielu powodów. Użytkownicy zmieniają swoje adresy, nazwiska czy numery telefonów. Za pomocą PHP można szybko wprowadzić te zmiany, jeżeli tylko znamy nazwy atrybutów odpowiadające tym wartościom. Przykłady w kolejnych punktach pokazują, w jaki sposób można zmienić atrybuty wykorzystywane przez system. W listingach tych wykorzystane są metody opisane w podrozdziale „Zapis atrybutów” we wcześniejszej części rozdziału. Listingi nie są kompletne — zawierają tylko najważniejsze części. Przykłady nie zawierają obsługi błędów ani preambuły z deklaracją przestrzeni nazw czy też definicji zmiennej $account. UWAGA Niektóre przykłady wymagają znajomości bieżącej wartości atrybutów. Parametr $entry przekazywany do modify() zawiera informacje na temat konta użytkownika lub grupy.

Odblokowanie konta Jeżeli użytkownik przekroczy maksymalną dozwoloną liczbę nieudanych prób logowania, konto może być automatycznie zablokowane. Atrybut msDS-User-Account-Control-Computed pozwala sprawdzić, czy konto jest zablokowane: jeżeli znacznik 0x10 jest ustawiony, konto jest zablokowane. Możesz odblokować konto przez użycie atrybutu userAccountControl i skasowanie odpowiedniego bitu, jak jest to pokazane na listingu 18.7. LISTING 18.7. Odblokowanie konta $attributes = array('userAccountControl', 'msDS-User-Account-Control-Computed'); function modify($ad, $entry) { $changeattr = array(); $changeattr['userAccountControl'] = $entry['userAccountControl'] & ~0x10; ldap_mod_replace($ad->handle, $entry['dn'], $changeattr); }

470 CZĘŚĆ III Active Directory

Aktywowanie i dezaktywowanie konta Jeżeli konto jest tymczasowo wyłączone, użytkownik nie może się zalogować. Znacznik 0x02 atrybutu userAccountControl wskazuje na zablokowane konto. Jeżeli skasujemy ten znacznik, konto stanie się nieaktywne, a jeżeli go ustawimy, konto będzie aktywne. Na listingu 18.8 przedstawiony jest sposób aktywowania konta. LISTING 18.8. Aktywowanie konta $attributes = array('userAccountControl'); function modify($ad, $entry) { $changeattr = array(); $changeattr['userAccountControl'] = $entry['userAccountControl'] & ~0x02; ldap mod replace($ad->handle, $entry['dn'], $changeattr); }

Aby można było dezaktywować konto użytkownika, atrybut userAccountControl musi być zmodyfikowany w następujący sposób: $changeattr['userAccountControl'] = $entry['userAccountControl'] | 0x02;

Członkostwo w grupie Członkostwo w grupie jest kontrolowane przez atrybut member. Skojarzony atrybut memberOf jest ustawiany automatycznie. Dodawanie użytkownika do grupy Aby dodać użytkownika do grupy, użyj funkcji ldap_mod_add(). Podaj DN użytkownika w atrybucie member. Na listingu 18.9 nazwa DN użytkownika jest dodawana do tablicy atrybutów. Aby pobrać nazwę DN grupy niezbędnej do wywołania funkcji ldap_mod_add(), odczytaj obiekt grupy za pomocą pomocniczej metody getAccount(). LISTING 18.9. Dodawanie użytkownika do grupy $attributes = array('memberOf'); function modify($ad, $entry, $group='gruppenname') { $attr = array(); $attr['member'] = $entry['dn']; $group = $ad->getAccount($group); ldap mod add($ad->handle, $group['dn'], $attr); }

UWAGA Nie możesz dodać użytkownika do grupy, do której już należy. Dlatego powinieneś wcześniej sprawdzić, czy użytkownik, którego chcesz dodać, nie jest już członkiem grupy.

ROZDZIAŁ 18. Zapisywanie w Active Directory 471

Usuwanie użytkownika z grupy Aby usunąć użytkownika z grupy, użyj funkcji ldap_mod_del(). Na listingu 18.10 pokazany jest przykład usunięcia użytkownika z wszystkich grup. Na listingu tym atrybut memberOf obiektu użytkownika zawiera nazwy DN wszystkich grup, a użytkownik jest usuwany z tych grup, jedna po drugiej. LISTING 18.10. Usuwanie użytkownika z wszystkich grup $attributes = array('memberOf'); function modify($ad, $entry, $group='gruppenname') { $attr = array(); $attr['member'] = $entry['dn']; for ($i=0; $i < $entry['memberOf']['count']; $i++) { ldap_mod_del($ad->handle, $entry['memberOf'][$i], $attr); } }

UWAGA Użytkownicy usuwani w ten sposób nie są usuwani z grupy głównej (zwykle grupy użytkowników domeny), ponieważ grupa główna jest ustawiana w atrybucie primaryGroupID.

Wymuszenie zmiany hasła Aby wymusić na użytkowniku zmianę hasła przy następnym logowaniu, użyj funkcji ldap_mod_replace() do ustawienia atrybutu pwdLastSet na 0, jak jest to pokazane na listingu 18.11. LISTING 18.11. Wymuszenie na użytkowniku zmiany hasła przy następnym logowaniu $attributes = array('pwdLastSet'); function modify($ad, $entry) { $changeattr = array(); $changeattr['pwdLastSet'] = 0; ldap_mod_replace($ad->handle, $entry['dn'], $changeattr); }

Zmiana hasła Aby można było zmienić hasło użytkownika poprzez LDAP, spełnione muszą być dwa warunki: połączenie LDAP musi być szyfrowane oraz użytkownik LDAP musi posiadać uprawnienia do zmiany haseł dla innych kont (zwykle jest to administrator domeny). UWAGA Z powodu ograniczeń rozszerzenia LDAP dla PHP oraz procedury wymaganej przez Active Directory użytkownicy nie mogą zmieniać własnych haseł; połączenie LDAP musi być delegowane do administratora domeny (lub innego użytkownika z uprawnieniami do zmiany hasła innych użytkowników).

472 CZĘŚĆ III Active Directory

Active Directory wymaga certyfikatu serwera, aby funkcja ldap_start_tls() mogła utworzyć szyfrowane połączenie pomiędzy PHP a Active Directory. Konfiguracja certyfikatów dla Active Directory i PHP została przedstawiona w rozdziale 15. „Konfigurowanie Active Directory”. Aby utworzyć szyfrowane połączenie za pomocą klasy LDAPConnection używanej w tych przykładach, przekaż wartość true w czwartym parametrze metody connect(): $ad = new LDAPConnection(); $ad->connect($server, $user, $password, true);

Następnie możesz użyć ldap_mod_replace() na atrybucie unicodePwd w celu podania hasła, jak jest to pokazane na listingu 18.12. Hasło należy zakodować jako UTF-16 (lub UCS-2) i ująć w apostrofy. Na poniższym listingu jest to realizowane przez funkcję mb_convert_encoding(). Nie musisz maskować apostrofów i innych znaków specjalnych w hasłach. Jednak z powodu błędu konieczne jest dwukrotne wywołanie funkcji ldap_mod_replace(), inaczej zarówno hasło stare, jak i nowe będą działały; nadal będzie można używać starego hasła do zalogowania się do Active Directory, choć nie będzie można się zalogować za jego pomocą do komputera. LISTING 18.12. Zmiana hasła dla obiektu użytkownika $attributes = array('pwdLastSet'); function modify($ad, $entry, $password) { $newpwd = array(); $newpwd['unicodePwd'] = mb_convert_encoding('"'.$password.'"', 'UCS-2LE'); ldap_mod_replace($ad->handle, $entry['dn'], $newpwd); ldap_mod_replace($ad->handle, $entry['dn'], $newpwd); // Musi być wywołana dwukrotnie! }

Zapisywanie obiektów Przy użyciu interfejsu LDAP możesz nie tylko zmieniać atrybuty, ale również tworzyć nowe obiekty oraz usuwać lub przenosić istniejące obiekty w hierarchii katalogu. Aby przykłady te mogły działać, potrzebujesz nowego skryptu pomocniczego. Aby nasz istniejący skrypt mógł przetwarzać nowe i usunięte obiekty, skopiuj zawartość modify_ldap.php (z listingu 18.1) do pliku modify_ldap_entry.php, a następnie zamień następujące wiersze: // Wprowadź zmiany $before = $ad->getAccount($accountName, $attributes); modify($ad, $before); $after= $ad->getAccount($accountName, $attributes);

na następujące: // Wprowadź zmiany list($before, $after) = modify($ad);

Funkcja modify() zapewnia teraz pełną kontrolę nad obiektami.

ROZDZIAŁ 18. Zapisywanie w Active Directory 473

Tworzenie nowych obiektów Aby dodać nowy obiekt, użyj funkcji ldap_add(). Do funkcji tej przekazywana jest tablica asocjacyjna analogiczna do funkcji dodawania i modyfikacji atrybutów. Nazwa DN przekazywana jako parametr definiuje lokalizację obiektów w hierarchii katalogu. W zależności od typu obiektu powinieneś ustawić inne atrybuty. Niezależnie od typu obiektu musisz określić atrybut objectClass definiujący klasę obiektu. Na listingu 18.13 przedstawiony jest sposób dodawania jednostki organizacyjnej. Wyświetlana w LDAP nazwa OU klasy jest definiowana jako organizationalUnit. Dodatkowo ustawianych jest kilka innych (opcjonalnych) atrybutów (description, c, st). Ponieważ nazwą DN jest OU=Chomik,OU=Test-OU,DC=xmp,DC=site, jednostka organizacyjna jest podrzędna wobec obiektu OU=Test-OU,DC=xmp,DC=site. Funkcja ldap_add() tworzy jednostkę organizacyjną. UWAGA Nazwa DN jednostki organizacyjnej musi zaczynać się od OU= (nazwą RDN jest ou), w przeciwnym razie jednostka organizacyjna nie będzie mogła być dodana. Poza kilkoma wyjątkami nazwy DN innych obiektów zaczynają się od CN= (nazwą RDN jest cn). LISTING 18.13. ldap_add_entry.php — tworzenie nowej jednostki organizacyjnej handle, $dn, $attr); if (!$success) { $ad->exitWithError("Utworzenie nowej jednostki organizacyjnej nie powiodło się"); } $before = array('dn' => $dn, 'count' => 0); $after = $ad->getOneEntry("(distinguishedName=$dn)"); return array($before, $after); } ?>

Na listingu 18.6 przedstawione są atrybuty nowego obiektu. Zwróć uwagę, że Active Directory automatycznie dodaje atrybuty w czasie tworzenia obiektu. Są to: GUID (atrybut objectGUID), atrybuty strukturalne, takie jak ou, name oraz distinguishedName, jak również dane na temat czasu utworzenia i klas obiektu.

474 CZĘŚĆ III Active Directory

RYSUNEK 18.6. Tworzenie nowego obiektu za pomocą ldap_add()

Active Directory tworzy również dodatkowe informacje na temat obiektu. Atrybuty te nie są automatycznie wyświetlane, ale mogą być użyte w zapytaniach (na przykład nTSecurityDescriptor, createTimeStamp, allowedAttributes, canonicalName i tak dalej).

Usuwanie obiektów Obiekty można usuwać za pomocą funkcji ldap_delete(), przekazując do niej jako parametr adres DN obiektu. Usuwać można wyłącznie obiekty nie posiadające obiektów podrzędnych. Dlatego należy wcześniej usunąć wszystkie obiekty podrzędne z hierarchii i dopiero wtedy usunąć obiekt. Na listingu 18.14 pokazany jest przykład rekurencyjnego usuwania obiektów. Funkcja ldap_delete_recursive() korzysta z ldap_list() oraz ldap_get_entries() do pobrania

wszystkich obiektów na następnym poziomie. Jeżeli zostaną znalezione obiekty, funkcja jest wywoływana rekurencyjnie z nazwą DN obiektu podrzędnego. Jeżeli funkcja osiągnie węzeł katalogu nie posiadający obiektów podrzędnych, przerywa rekurencję i usuwa węzeł.

ROZDZIAŁ 18. Zapisywanie w Active Directory 475 LISTING 18.14. ldap_del_entry.php — rekurencyjne usuwanie obiektu exitWithError("Nie można usunąć OU"); } // Brak wyników $before = array('dn' => "Rekurencyjne usuwanie: $dn", 'count' => 0); $after = array('count' => 0); return array($before, $after); } function ldap delete recursive($ad, $dn) { $result = ldap_list($ad->handle, $dn, '(objectClass=*)', array('name')); if (!$result) { return false; } $entries = ldap_get_entries($ad->handle, $result); ldap_free_result($result); if (!$entries) { return false; } for ($i = 0; $i < $entries['count']; $i++) { $result = ldap_delete_recursive($ad, $entries[$i]['dn']); if (!$result) { return false; } } return ldap_delete($ad->handle, $dn); } ?>

Przenoszenie obiektów Za pomocą funkcji ldap_rename() możesz zmienić nazwę obiektu — na przykład jej nazwę DN. Ponieważ nazwa DN określa pozycję obiektu w hierarchii katalogu, możesz użyć funkcji ldap_rename() do przeniesienia obiektu w inne miejsce hierarchii. Funkcja ta oczekuje trzech parametrów: „

$oldDN — nazwa DN do modyfikacji.

„

$newRDN — nowa nazwa RDN obiektu.

„

$newParentDN — nazwa DN nowego obiektu nadrzędnego może być zerowa, jeżeli zmienia się wyłącznie nazwa obiektu (nie jest przenoszony) w hierarchii.

476 CZĘŚĆ III Active Directory UWAGA Parametr $deleteOldRDN w funkcji zawsze musi mieć wartość true, ponieważ Active Directory wymaga usunięcia starej wartości RDN.

Przykład jest pokazany na listingu 18.15: obiekt OU=Rodzina,OU=Chomik,OU=Test-OU,DC=xmp,DC=site musi być zmieniony (OU=Rodzina zmienia się na OU=Rodzina i przyjaciele) i przeniesiony w inne miejsce hierarchii (OU=Osoby,OU=Chomik,OU=Test-OU,DC=xmp,DC=site). LISTING 18.15. ldap_move_entry.php — przenoszenie obiektu i zmiana jego nazwy getOneEntry('(ou=Relatives)', $attributes); $success = ldap rename($ad->handle, $oldDN, $newRDN, $newParentDN, true); if (!$success) { $ad->exitWithError("Nie można zmienić nazwy OU"); } $after = $ad->getOneEntry("($newRDN)", $attributes); return array($before, $after); } ?>

OSTRZEŻENIE Przenoszenie obiektów w hierarchii może mieć wpływ na bezpieczeństwo. Przypadek taki może nastąpić, gdy dla starej i nowej pozycji używane są inne zasady grupy.

Nową nazwą DN jest OU=Rodzina i przyjaciele,OU=Osoby,OU=Chomik,OU=Test-OU,DC=xmp,DC=site (składa się z $newRDN oraz $parentDN). Atrybuty ou oraz name odzwierciedlają nowe nazwy. Wartość objectGUID wskazuje, że obiekt pozostał ten sam. Wynik jest pokazany na rysunku 18.7. WAŻNE Active Directory pozwala na przenoszenie obiektów, nawet jeżeli posiadają obiekty podrzędne. W takim przypadku przenoszona jest cała sekcja drzewa, więc nazwy DN obiektów podrzędnych również się zmieniają.

Jeżeli obiekt jest chroniony przed przypadkowym usunięciem, ochrona dotyczy również zmiany jego nazwy DN. Aby zmienić taki obiekt, musisz wcześniej usunąć ochronę przed przypadkowym usunięciem.

ROZDZIAŁ 18. Zapisywanie w Active Directory 477

RYSUNEK 18.7. Przenoszenie i zmiana nazwy obiektu

Przykłady praktyczne Jednym z zadań administratora jest wprowadzanie zmian związanych ze zmianami dotyczącymi organizacji oraz personelu. Pracownicy i goście dołączają i opuszczają organizację, a wydziały, jednostki organizacyjne oraz grupy zmieniają się. Przykłady z podrozdziału „Zapisywanie obiektów”, znajdującego się we wcześniejszej części rozdziału, odnoszą się do jednostek organizacyjnych. W kolejnych punktach przedstawię cztery ważne przypadki użycia: tworzenie oraz usuwanie użytkowników i grup. UWAGA Listingi tych przykładów nie są kompletne — zawierają one tylko najważniejsze części. Przykłady nie zawierają też obsługi błędów ani preambuły z deklaracją przestrzeni nazw.

Tworzenie nowej grupy Aby dodać nową grupę, użyj funkcji ldap_add(). Powinieneś mieć co najmniej następujące atrybuty: „

klasę obiektu (group),

„

typ i zakres grupy (grupa dystrybucyjna lub zabezpieczeń, o zakresie lokalnym, globalnym lub uniwersalnym),

„

nazwę konta SAM: nazwę grupy (zwykle identyczna jak RDN grupy).

Na listingu 18.16 przedstawiony jest sposób tworzenia grupy przez wywołanie funkcji ldap_add() po wypełnieniu tablicy. Wartość atrybutu sAMAccountName jest identyczna jak RDN (CN=AdventureWorks).

478 CZĘŚĆ III Active Directory LISTING 18.16. Tworzenie nowej grupy // Wartości dla atrybutu groupType const GT_SECURITY_ENABLED = 0x80000000; const GT_ACCOUNT_GROUP = 0x02; const GT_RESOURCE_GROUP = 0x04; const GT_UNIVERSAL_GROUP = 0x08; function modify($ad) { $attr = array(); $attr['objectClass'] = 'group'; $attr['groupType'] = GT_ACCOUNT_GROUP | GT_SECURITY_ENABLED; $attr['sAMAccountName'] = 'AdventureWorks'; $dn = 'CN=AdventureWorks,OU=Test-OU,DC=xmp,DC=site'; ldap add($ad->handle, $dn, $attr); }

Active Directory automatycznie ustawia dodatkowe atrybuty, w tym objectSid (ID zabezpieczeń grupy). UWAGA Jeżeli nie określisz wartości sAMAccountName, nazwa konta SAM jest generowana automatycznie.

Jeżeli nie określisz wartości groupType, utworzona zostanie grupa zabezpieczeń o zasięgu globalnym (groupType=0x80000002).

Tworzenie nowego użytkownika Aby za pomocą funkcji ldap_add() utworzyć nowego użytkownika, ustaw atrybut objectClass na wartość user. Wszystkie pozostałe atrybuty są opcjonalne, jednak powinieneś ustawić następujące: „

nazwę użytkownika w givenName, initials, sn, displayName;

„

nazwę logowania w sAMAccountName, userPrincipalName;

„

nazwę RDN (CN= na początku nazwy DN) — powinna być taka sama jak displayName.

W czasie tworzenia użytkownika można również podać hasło w atrybucie unicodePwd. Atrybut userAccountControl nie może być ustawiany w czasie tworzenia użytkownika; musi być zdefiniowany w osobnym kroku. UWAGA Nie można również określić członkostwa w grupach, ponieważ jest ono kontrolowane przez atrybut member grupy, a nie atrybut memberOf użytkownika.

Sposób tworzenia użytkownika jest pokazany na listingu 18.17. Ustawione są w nim atrybuty określające nazwę użytkownika i konto, a displayName składa się z givenName, initials oraz sn. Nazwa RDN jest identyczna jak displayName, a znaki ukośnika (\), równości (=) oraz kropki (.) są maskowane w celu zapewnienia zgodności ze składnią DN. Wywołanie funkcji ldap_add() powoduje dodanie obiektu.

ROZDZIAŁ 18. Zapisywanie w Active Directory 479 WAŻNE Na tym listingu nie wzięliśmy pod uwagę zestawu znaków. Ponieważ wartości dla atrybutów nazw muszą być zgodne ze składnią ciągów Unicode, musi być zastosowane kodowanie UTF-8 (patrz punkt „Kodowanie i zestawy znaków” we wcześniejszej części rozdziału).

LISTING 18.17. Tworzenie nowego użytkownika // Wartości atrybutu userAccountControl const UAC ACCOUNTDISABLE = 0x0002; const UAC_LOCKOUT = 0x0010; const UAC PASSWD NOTREQD = 0x0020; const UAC_PASSWD_CANT_CHANGE = 0x0040; const UAC NORMAL ACCOUNT = 0x0200; const UAC_INTERDOMAIN_TRUST_ACCOUNT = 0x0800; const UAC_WORKSTATION_TRUST_ACCOUNT = 0x1000; const UAC_SERVER_TRUST_ACCOUNT = 0x2000; const UAC_DONT_EXPIRE_PASSWORD = 0x10000; const UAC_PASSWORD_EXPIRED = 0x800000; function modify($ad) { $attr = array(); $attr['objectClass'] = 'user'; $attr['sAMAccountName'] = 'dorota'; $attr['userPrincipalName'] = $attr['sAMAccountName'] . '@xmp.site'; $attr['givenName'] = 'Dorota'; $attr['initials'] = 'D'; $attr['sn'] = 'Laskowska'; $attr['displayName'] = "$attr[givenName] $attr[initials]. $attr[sn]"; $rdn = 'CN=' . preg_replace('/[\\\\=,]/', '\\\\$0', $attr['displayName']); $dn = $rdn . ',OU=Test-OU,DC=xmp,DC=site'; ldap add($ad->handle, $dn, $attr); $attr = array(); $attr['userAccountControl'] = UAC_NORMAL_ACCOUNT; $attr['unicodePwd'] = mb convert encoding('"confidential"', 'UCS-2LE'); ldap_mod_replace($ad->handle, $dn, $attr); }

Active Directory tworzy obiekt użytkownika i inicjuje jego atrybuty. Atrybut userAccountControl ma wartość 222hex (zwykłe konto, hasło nie jest wymagane, kontro nieaktywne). Atrybut primaryGroupID pozwala na automatyczne dodanie użytkownika do grupy użytkowników domeny. W drugim kroku użyliśmy funkcji ldap_mod_replace() do ustawienia hasła i modyfikacji userAccountControl w celu aktywowania konta. Od tego momentu konto może być wykorzystywane i użytkownik może się zalogować. UWAGA Warunki, jakie muszą być spełnione, zanim będziesz mógł utworzyć lub zmienić hasło, są opisane w punkcie „Zmiana hasła” we wcześniejszej części rozdziału. Jeżeli hasło nie istnieje, musi być ustawiony znacznik 20hex (hasło nie jest wymagane) w atrybucie userAccountControl, ponieważ w przeciwnym razie nie uda się zmiana hasła.

480 CZĘŚĆ III Active Directory

Usuwanie użytkownika lub grupy Użytkowników i grupy można usuwać za pomocą ldap_delete() bez konieczności spełniania żadnych warunków. Na listingu 18.18 pokazane są dwa kroki potrzebne do użycia tej funkcji: „

odczytanie obiektu w celu uzyskania nazwy DN (wyszukiwanie jest realizowane z użyciem atrybutu sAMAccountName),

„

usunięcie użytkownika lub grupy.

LISTING 18.18. Usuwanie użytkownika lub grupy function modify($ad, $accountName) { $account = $ad->getAccount($accountName, array('name')); ldap_delete($ad->handle, $account['dn']); }

UWAGA Użytkownicy i grupy mogą posiadać obiekty podrzędne (na przykład classStore lub ms-net-ieee-80211-GroupPolicy). Z tego powodu usuwanie za pomocą ldap_delete() może się nie powieść. W takim przypadku można użyć funkcji ldap_delete_recursive() z listingu 18.14.

Ponieważ Active Directory automatycznie aktualizuje stan członkostwa dla użytkowników i grup, nie ma potrzeby modyfikowania atrybutów member oraz memberOf. Usunięcie użytkownika z Active Directory nie wpływa na dane profilu użytkownika. Muszą być one usunięte osobno.

Podsumowanie W tym rozdziale opisałem, jak zmieniać dane zapisane w Active Directory, dodając, usuwając i modyfikując atrybuty oraz obiekty. Przykładami operacji, jakie można w ten sposób zrealizować, są zmiana członkostwa w grupie, tworzenie nowego użytkownika lub też zmiana numeru telefonu użytkownika. Konieczne jest, aby użytkownik PHP posiadał odpowiednie uprawnienia, ponieważ jest właścicielem obiektu do modyfikacji, jest członkiem grupy administracyjnej albo zostały mu one nadane za pomocą ACL. Rozdział ten kończy temat programowania Active Directory za pomocą PHP. Active Directory posiada kilka typów obiektów i atrybutów, których omówienie wykracza poza ramy tej książki. Jednak korzystając ze zdobytej tu wiedzy, powinieneś być w stanie zaprogramować większość operacji w Active Directory. W następnej części książki przedstawię korzystanie z serwera Exchange poprzez interfejs SOAP XML udostępniany poprzez Usługi sieci Web programu Exchange.

Część IV

Serwer Exchange W tej części: Rozdział 19. „Uruchamianie serwera Exchange” ..............................................................483 Rozdział 20. „Usługi sieciowe Exchange” .........................................................................495 Rozdział 21. „Podstawowe usługi sieciowe poczty elektronicznej”.................................511 Rozdział 22. „Kontakty i wyszukiwanie”............................................................................539 Rozdział 23. „Kalendarz i personifikacja” ..........................................................................557

Rozdział 19.

Uruchamianie serwera Exchange W tym rozdziale: Konfiguracja wymaganych usług i funkcji ........................................................................484 Instalowanie serwera Exchange ......................................................................................487 Konfiguracja po instalacji ..................................................................................................488 Tworzenie skrzynki pocztowej ..........................................................................................493 Podsumowanie ..................................................................................................................494

Microsoft Exchange Server 2010 jest złożoną platformą zarządzającą komunikatami, zadaniami i spotkaniami, przeznaczoną dla grup roboczych oraz organizacji. Zasady grupy, przebudowane zarządzanie uprawnieniami korzystające z mechanizmu Role-Based Access Control (RBAC) oraz ścisła integracja z Microsoft Active Directory pozwalają na uproszczenie administracji, szczególnie w większych organizacjach. Dzięki aplikacji Microsoft Outlook Web Access użytkownicy mogą korzystać ze swoich skrzynek pocztowych poprzez sieć WWW, mając do dyspozycji niemal wszystkie funkcje Exchange. Dzięki użyciu usług sieciowych Exchange (EWS) możesz sterować serwerem Exchange z aplikacji PHP. W kolejnych rozdziałach tej książki zaprezentuję między innymi, w jaki sposób zapraszać osoby na konferencje, jak odczytywać wiadomości e-mail oraz jak przeszukiwać kontakty. W tym rozdziale przedstawię instalację serwera Exchange Server 2010 SP1 w środowisku programistycznym. Przedstawię również, w jaki sposób skonfigurować certyfikaty oraz jak konfigurować skrzynki pocztowe dla użytkowników.

Konfiguracja wymaganych usług i funkcji Instalacja i konfiguracja serwera Exchange Server 2010 SP1 jest prosta, pod warunkiem że dostępne są wszystkie wymagane usługi i funkcje. Typowa instalacja zajmuje niecałą godzinę. Usługi sieciowe oraz Outlook Web Access wymagają zainstalowania serwera IIS, jak również skonfigurowania kilku dodatkowych funkcji, opisanych w kolejnych punktach. UWAGA Więcej informacji na temat złożonych instalacji w środowiskach produkcyjnych można znaleźć w serwisie Technet, pod adresem http://technet.microsoft.com/en-us/library/bb124558.aspx.

484 CZĘŚĆ IV Serwer Exchange

Ogólne wymagania Aby móc korzystać z zaawansowanych funkcji Exchange Server 2010 SP1, potrzebujesz nowoczesnej i wydajnej infrastruktury. Powinny być spełnione następujące wymagania: „

Procesor: 64-bitowy.

„

System operacyjny: co najmniej Windows Server 2008 SP2 lub R2.

„

Pamięć RAM: co najmniej 4 GB; jeżeli na komputerze zainstalowano kilka ról, zalecane jest użycie 8 GB.

„

Active Directory. „

Poziom funkcjonalności lasu: Windows Server 2003 lub wyższy.

„

Poziom funkcjonalny domeny: Windows Server 2003 lub wyższy.

„

Główny kontroler schematu, katalog globalny i kontroler domeny: Windows Server 2003 SP1 lub nowszy; Windows Server 2008 lub nowszy.

Jeżeli wymagania wstępne są spełnione, możesz rozpocząć instalowanie wymaganych usług i funkcji. Zakładam, że wszystkie te role instalujesz na komputerze w środowisku programistycznym.

Konfigurowanie IIS Rola Serwer dostępu klienta w Exchange wymaga dostępności serwera IIS. Aby go skonfigurować, wykonaj operacje opisane w rozdziale 1. „Konfiguracja środowiska roboczego”: 1. W programie Menedżer serwera wybierz Dodaj role, a następnie kliknij rolę Serwer sieci Web (IIS). 2. Dodaj do serwera WWW role wymienione w tabeli 19.1. TABELA 19.1. Usługi roli IIS

Sekcja

Usługi roli

Serwer sieci Web/Wspólne funkcje HTTP

Zawartość statyczna, Dokument domyślny, Przeglądanie katalogów, Błędy HTTP, Przekierowywanie HTTP.

Serwer sieci Web/Projektowanie aplikacji

ASP.NET, Rozszerzenia architektury .NET, Rozszerzenia ISAPI, Filtry ISAPI.

Serwer sieci Web/Stan i diagnostyka

Rejestrowanie HTTP, Narzędzia rejestrowania, Monitor żądań, Śledzenie.

Serwer sieci Web/Zabezpieczenia

Uwierzytelnianie podstawowe, Uwierzytelnianie systemu Windows, Uwierzytelnianie szyfrowane, Uwierzytelnianie mapowań certyfikatów klientów, Filtrowanie żądań.

Serwer sieci Web/Wydajność

Kompresja zawartości statycznej, Kompresja zawartości dynamicznej.

Narzędzia do zarządzania

Konsola zarządzania usługami IIS.

Narzędzia do zarządzania/Zgodność z narzędziami zarządzania usługami IIS w wersji 6

Zgodność z metabazą usług IIS 6, Konsola zarządzania usługą IIS 6.

3. Potwierdź instalację zależnych funkcji i uruchom proces instalacji.

ROZDZIAŁ 19. Uruchamianie serwera Exchange 485

Możesz również uruchomić instalację z poziomu Windows PowerShell: Import-Module ServerManager Add-WindowsFeature Web-Server, Web-Net-Ext, Web-ISAPI-Ext, Web-Basic-Auth, Web-Windows-Auth, Web-Digest-Auth, Web-Dyn-Compression, Web-Metabase, Web-Lgcy-Mgmt-Console

Konfigurowanie funkcji Oprócz serwera IIS musisz zainstalować jeszcze kilka funkcji. W programie Menedżer serwera kliknij Dodaj funkcje, a następnie wybierz funkcje wymienione w tabeli 19.2. TABELA 19.2. Funkcje wymagane przez serwer Exchange

Sekcja

Funkcje

Funkcje środowiska .NET Framework 3.5.1

.NET Framework 3.5.1, Aktywacja funkcji WCF Activation/HTTP Activation

Narzędzia administracji zdalnej serwera, Narzędzia administracji rolami

Narzędzia usług AD DS i AD LDS/ Narzędzia usług domenowych w usłudze AD RPC przez serwer proxy HTTP

Usługa aktywacji procesów systemu Windows

Model procesów, Środowisko .NET, Konfiguracyjne interfejsy API.

Potwierdź instalację zależnych funkcji. Możesz również uruchomić instalację z poziomu Windows PowerShell: Import-Module ServerManager Add-WindowsFeature NET-Framework, WAS-Process-Model, RSAT-ADDS, RSAT-Web-Server, NET-HTTP-Activiation, RPC over HTTP Proxy

Po zainstalowaniu dodatkowych funkcji musisz zrestartować komputer.

Konfigurowanie portów współdzielonych Kolejnym krokiem jest włączenie portów współdzielonych dla Exchange. W tym celu uruchom PowerShell, a następnie wykonaj następujące polecenie: Set-Service NetTcpPortSharing -StartupType Automatic

Po spełnieniu wymagań (IIS, funkcje, porty) serwera Exchange możesz przejść do właściwej instalacji.

Instalowanie konwertera Office Aby Exchange był w stanie przeszukiwać dokumenty Microsoft Office, potrzebujesz konwertera zawierającego filtr pozwalający na indeksowanie tych dokumentów.

486 CZĘŚĆ IV Serwer Exchange 1. Pobierz pakiet Microsoft Office 2010 Filter Packs dostępny pod adresem

http://www.microsoft.com/download/en/details.aspx?id=17062. 2. Uruchom instalator. 3. Zaakceptuj warunki licencji, aby rozpocząć instalację.

Konfigurowanie DNS Aby skonfigurować inne nazwy domen dla Exchange, dodaj odpowiednie wpisy w serwerach DNS. Zwykle Exchange korzysta z dwóch nazw: nazwy w domenie Windows oraz nazwy domeny DNS pozwalającej na dostęp z zewnątrz. W książce tej używane są nazwa wewnętrzna doco-exch.xmp.site oraz nazwa zewnętrzna mail.phpdemo.site. Dodatkowo skonfigurowano nazwę autodiscover.phpdemo.site na potrzeby usługi Autodiscover. Jeżeli korzystasz z serwera DNS dostępnego w Windows Server 2008 R2, wykonaj następujące operacje: 1. Uruchom program Menedżer DNS, klikając Start/Narzędzia administracyjne/DNS. 2. Wybierz domenę poprzez /Strefy wyszukiwania do przodu/
domeny>. 3. Aby dodać odpowiednie nazwy domen, wybierz z menu Akcja opcję Nowy host

(A lub AAAA) lub Nowy alias (CNAME).

Instalowanie serwera Exchange Po zakończeniu wszystkich czynności przygotowawczych serwer Exchange można zainstalować i skonfigurować w kilku prostych krokach. Poniższy proces instalacji obejmuje wszystkie wymagane role przy założeniu, że serwer Exchange jest pierwszym serwerem instalowanym w domenie. Aby zainstalować Exchange Server 2001 SP1, wykonaj następujące operacje: 1. Uruchom program setup.exe z nośnika instalacji Exchange. 2. Ponieważ kroki 1. i 2. z asystenta instalacji powinny być już wykonane, możesz przejść

do kroku 3. i wybrać język. Wybierz opcję Install Only Languages From The DVD. 3. Kliknij krok 4. w asystencie instalacji, aby skopiować pliki instalacyjne i uruchomić

proces instalacji. Spowoduje to otwarcie kreatora instalacji Exchange Server 2010. 4. Na stronie License Agreement zaakceptuj warunki licencji. 5. Na stronie Error Reporting zdecyduj, czy chcesz włączyć opcję raportowania błędów.

ROZDZIAŁ 19. Uruchamianie serwera Exchange 487 6. Na stronie Instalation Type wybierz Typical Exchange Server Installation, jak jest to

pokazane na rysunku 19.1.

RYSUNEK 19.1. Kreator instalacji Exchange Server 2010: wybór typu instalacji

Spowoduje to zainstalowanie na komputerze ról Hub Transport, Client Access oraz Mailbox. 7. Na następnej stronie wprowadź nazwę organizacji Exchange. Na potrzeby ćwiczeń w tej książce użyj nazwy XMP. 8. Jeżeli nadal korzystasz z programu Outlook 2003 na komputerach w domenie, wybierz Yes

na stronie Client Settings. 9. Jeżeli serwer Exchange będzie dostępny nie tylko w domenie, ale również z zewnątrz, wpisz nazwę domenową (mail.phpdemo.site) na stronie External domain (domeną jest xmp.site). 10. Następnie kreator instalacji sprawdzi wymagania systemowe. Zignoruj ostrzeżenie

Organization Prerequisites (patrz rysunek 19.2).

RYSUNEK 19.2. Kreator wyświetla ostrzeżenie odnośnie do wymagań systemowych

488 CZĘŚĆ IV Serwer Exchange

Jeżeli system spełnia wymagania opisane we wcześniejszym punkcie „Konfiguracja wymaganych usług i funkcji”, nie powinny wystąpić żadne błędy (takie jak brakujące zależności). Jeżeli instalujesz Exchange Server na kontrolerze domeny, zobaczysz dodatkowe ostrzeżenie na temat podniesionych uprawnień; w środowisku programistycznym możesz je zignorować. 11. Kliknij Install, aby rozpocząć instalację. 12. Po pomyślnym zakończeniu instalacji kliknij Finish, aby zamknąć instalator. 13. Po powrocie do asystenta instalacji w kroku 5. możesz od razu sprawdzić dostępność

ważnych aktualizacji dla serwera Exchange. Serwer Exchange jest zainstalowany. Przed kontynuowaniem konfiguracji za pomocą Exchange Management Console powinieneś zrestartować komputer.

Konfiguracja po instalacji Po zakończeniu instalacji powinieneś skonfigurować wymagane ustawienia instalacji w programie Exchange Management Console. Najważniejszą częścią jest certyfikat Exchange opisany poniżej. Na początek powinieneś wprowadzić kod produktu.

Rejestrowanie Exchange Aby wprowadzić kod produktu Exchange Server, wykonaj następujące operacje: 1. Uruchom Exchange Management Console przez kliknięcie przycisku Start, a następnie

Wszystkie programy/Microsoft Exchange Server 2010/Exchange Management Console. 2. W panelu nawigacji (po lewej stronie okna) wybierz Microsoft Exchange/Microsoft Exchange

On-Premises/Server Configuration, jak jest to pokazane na rysunku 19.3. 3. W panelu Actions (po prawej stronie okna) kliknij Enter Product Key. 4. W oknie dialogowym wprowadź klucz produktu i kliknij Enter.

W następnym kroku zajmiesz się konfigurowaniem certyfikatu serwera Exchange.

Konfigurowanie certyfikatu serwera Exchange Komunikacja z serwerem Exchange jest realizowana z użyciem połączeń szyfrowanych za pomocą Transport Layer Security (TLS), co wymaga wystawienia certyfikatu dla serwera Exchange. W czasie instalowania Exchange na potrzeby usług został wygenerowany i zarejestrowany certyfikat samopodpisujący się. W środowisku programistycznym możesz korzystać z certyfikatu samopodpisującego się, ale w środowisku produkcyjnym powinieneś pozyskać certyfikat z urzędu certyfikacji. Możesz również użyć certyfikatu wystawionego przez własny urząd certyfikacji z Active Directory.

ROZDZIAŁ 19. Uruchamianie serwera Exchange 489

RYSUNEK 19.3. Program Exchange Management Console

Jest to ważne z punktu widzenia programowania w PHP, ponieważ wymagane jest skojarzenie głównego certyfikatu centrum certyfikacji. Dlatego powinieneś użyć urzędu certyfikacji Active Directory do wystawienia certyfikatu. Tworzenie żądania certyfikatu Na początek powinieneś wysłać żądanie wystawienia certyfikatu Exchange. Wykonaj więc następujące operacje: 1. Uruchom Exchange Management Console. 2. W panelu nawigacji wybierz Microsoft Exchange/Microsoft Exchange On-Premises/Server

Configuration (patrz rysunek 19.3). 3. W panelu Akcja kliknij New Exchange Certificate.

Otwarty zostanie kreator Exchange Certificate Wizard. 4. Wpisz wyświetlaną nazwę certyfikatu. Możesz użyć dowolnej nazwy, ponieważ będzie ona używana wyłącznie przy administrowaniu Exchange. Kliknij Next, aby potwierdzić. 5. Exchange pozwala na wysłanie żądania certyfikatu zawierającego znaki zastępujące.

Zwykle nie potrzebujemy certyfikatu ze znakami zastępującymi, dlatego możesz wyłączyć tę opcję (pozostaw pole wyboru bez zaznaczenia).

490 CZĘŚĆ IV Serwer Exchange 6. Na stronie Exchange Configuration wpisz nazwy domen, dla których powinien być wystawiony

certyfikat. Musisz użyć co najmniej dostępu klienckiego do usług sieciowych oraz określić, czy certyfikat jest wystawiany wyłącznie dla intranetu, czy również dla dostępu zewnętrznego. „

Client Access Server (Outlook Web App) — zaznacz opcje Outlook Web App Is On The Intranet oraz Outlook Web App Is On The Internet, a następnie wprowadź odpowiednie nazwy domen. Exchange podpowie odpowiednie nazwy.

„

Client Access Server (Web Services, Outlook Anywhere, and Autodiscover) — zaznacz opcje Exchange Web Servives Is Enabled, Outlook Anywhere Is Enabled oraz Autodiscover Used On The Internet. Zaznacz Long URL for Autodiscover, a następnie wprowadź zewnętrzny adres URL, taki jak autodiscover.phpdemo.site.

„

Client Access Server (POP/IMAP) — zaznacz te opcje w celu zabezpieczenia dostępu z użyciem protokołów POP oraz IMAP korzystających z certyfikatu.

7. Na stronie Certificate Domains kreator sugeruje odpowiednie nazwy domen, ale jeżeli chcesz,

możesz wprowadzić własne. Kliknij skojarzony przycisk w celu ustawienia nazwy zewnętrznej domeny jako przyjaznej nazwy certyfikatu. 8. Na stronie Organizations And Location wprowadź informacje na temat Twojej organizacji

oraz podaj ścieżkę do pliku żądania certyfikatu. Kliknij Next, aby potwierdzić. 9. Przed utworzeniem certyfikatu wybrane ustawienia są wyświetlane na stronie New Exchange

Certificate (patrz rysunek 19.4). Kliknij New, aby wygenerować żądanie certyfikatu.

RYSUNEK 19.4. Strona Certificate Configuration w kreatorze New Exchange Certificate Wizard

ROZDZIAŁ 19. Uruchamianie serwera Exchange 491

Do utworzenia certyfikatu możesz również użyć programu Exchange Management Shell. W takim przypadku uruchom następujące polecenie: New-ExchangeCertificate –GenerateRequest -SubjectName "c=AT, o=XMP, ou=Hamster lovers, cn=mail.phpdemo.site" -DomainName mail.phpdemo.site,autodiscover.phpdemo.site,doco-exch.xmp.site -PrivateKeyExportable $true

Wystawianie certyfikatu W celu wystawienia certyfikatu wyślij wygenerowane żądanie do urzędu certyfikacji. Jeżeli masz uruchomiony własny urząd certyfikacji korzystający z usług certyfikatów Active Directory, skopiuj plik żądania certyfikatu do komputera z zainstalowanym urzędem certyfikacji, a następnie wykonaj poniższe polecenie w PowerShell: certreq -submit -attrib "CertificateTemplate: WebServer"

UWAGA Jeżeli otrzymasz komunikat błędu Certificate not issued (Incomplete), najprawdopodobniej żądanie certyfikatu zostało zapisane z użyciem kodowania Unicode zamiast ANSI. Wystarczy otworzyć plik w notatniku, wybrać Plik/Zapisz jako, zmienić kodowanie na ANSI, a następnie zapisać plik.

Jeżeli zainstalowana jest usługa sieciowa rejestracji certyfikatów, możesz przesłać żądanie i wybrać jako szablon certyfikaty serwera WWW. UWAGA Jeżeli jesteś zalogowany jako administrator i nie możesz wystawić żądania certyfikatu, otwórz

program Menedżer serwera, a następnie w panelu nawigacji kliknij Role/Usługi certyfikatów w usłudze Active Directory. Kliknij prawym przyciskiem myszy, a następnie wybierz Właściwości z menu kontekstowego. Kliknij zakładkę Zabezpieczenia, a następnie aktywuj uprawnienie Żądaj certyfikatów dla grupy administracyjnej.

Po wystawieniu certyfikatu wyeksportuj go w programie Menedżer serwera w sposób opisany w rozdziale 15. „Konfigurowanie Active Directory”. Przypisywanie usług do certyfikatu Teraz powinieneś zaimportować wydany certyfikat do Exchange i przypisać do niego usługi. W tym celu wykonaj następujące operacje: 1. Skopiuj certyfikat na komputer z serwerem Exchange. 2. Uruchom Microsoft Exchange, a następnie w panelu nawigacji kliknij Microsoft Exchange

On-Premises/Server Configuration (patrz rysunek 19.3). 3. Na zakładce Exchange Certificates wybierz oczekujące żądanie wydania certyfikatu

(znajduje się w dolnej części centralnego panelu roboczego), a następnie w panelu akcji kliknij Complete Pending Request. 4. Wybierz plik certyfikatu i przypisz go do certyfikatu Exchange.

492 CZĘŚĆ IV Serwer Exchange 5. Po zaimportowaniu certyfikatu kliknij Assign Services To Certificate w panelu akcji.

Otwarty zostanie kreator Assign Services To Certificate Wizard. 6. Na pierwszej stronie kreatora zaznacz swój serwer Exchange i kliknij Next. 7. Na stronie Select Services wybierz usługi, dla których ma być używany certyfikat

(patrz rysunek 19.5). Obowiązkowo musisz wybrać usługę Internet Information Services (IIS).

RYSUNEK 19.5. Przypisywanie usług do certyfikatu

8. Kliknij Next, a następnie Assign, aby zakończyć operację przypisywania.

Utworzyłeś już żądanie certyfikatu, wystawiłeś certyfikat, zaimportowałeś go do Exchange i przypisałeś ten certyfikat do usług. Teraz powinieneś utworzyć skrzynki pocztowe i rozpocząć konfigurowanie Exchange Web Services.

Tworzenie skrzynki pocztowej Skrzynki pocztowe dla użytkowników domeny nie są tworzone automatycznie; trzeba to zrobić ręcznie. Skrzynka pocztowa Exchange zawiera pocztę, kontakty, zadania oraz pozycje kalendarza, a wszystkie te obiekty są zorganizowane za pomocą folderów. Aby utworzyć skrzynkę pocztową użytkownika, wykonaj następujące operacje: 1. Uruchom Exchange Management Console.

ROZDZIAŁ 19. Uruchamianie serwera Exchange 493 2. W panelu nawigacji kliknij Recipient Configuration/Mailbox. W panelu akcji kliknij

Mailbox/New Mailbox. Uruchomiony zostanie kreator New Mailbox Wizard. 3. Na stronie Introduction kliknij User Mailbox, a następnie Next, jak jest to pokazane

na rysunku 19.6.

RYSUNEK 19.6. Wybór typu skrzynki pocztowej

4. Na stronie User Type określ, czy chcesz utworzyć nowe konto użytkownika, czy skrzynkę dla

istniejącego użytkownika. Zaznacz opcję Existing Users, a następnie kliknij Add, aby wybrać jednego lub więcej użytkowników. 5. Na zakładce Mailbox Settings (na stronie User Type) podaj alias użytkownika używany dla

głównego adresu e-mail. Ponieważ nie chcesz teraz przypisywać żadnych zasad skrzynek pocztowych, kliknij Next. 6. Na ekranie zostanie wyświetlone podsumowanie ustawień konfiguracji. Kliknij New,

aby utworzyć skrzynkę, a następnie Zakończ, aby zamknąć kreatora. Została utworzona nowa skrzynka pocztowa. W panelu wyników konsoli Exchange Management Console wybierz nową skrzynkę pocztową, kliknij ją prawym przyciskiem myszy, a następnie wybierz Properties z menu kontekstowego — na przykład aby dodać więcej adresów e-mail. Na kilku zakładkach (takich jak User Information, Address and Phone czy Organization) dostępne są dane użytkownika z Active Directory.

494 CZĘŚĆ IV Serwer Exchange

Podsumowanie W rozdziale tym przedstawiłem typową instalację serwera Exchange i wymagania instalacji. Opisana konfiguracja obejmuje wszystkie ważne role serwera zainstalowane na danym komputerze. Przedstawiłem również sposób instalacji i konfiguracji certyfikatu dla komunikacji szyfrowanej oraz tworzenie nowej skrzynki pocztowej. Oczywiście Exchange oferuje znacznie więcej funkcji. Szczegółowy opis tych funkcji wykracza poza zakres tej książki. W następnym rozdziale przedstawię programowanie Exchange z użyciem Exchange Web Services, szczególnie z użyciem funkcji Autodiscover w celu określania adresów URL dla usług sieciowych.

Rozdział 20.

Usługi sieciowe Exchange W tym rozdziale: Wymagane rozszerzenia PHP ............................................................................................495 Usługa Autodiscover .........................................................................................................496 SOAP i WSDL .....................................................................................................................502 Komunikaty SOAP .............................................................................................................504 Informacja na temat kolejnych rozdziałów .......................................................................509 Podsumowanie ..................................................................................................................510

Dzięki użyciu usług sieciowych Exchange (EWS) możesz sterować serwerem Exchange z aplikacji PHP. Interfejs oferuje około 50 różnych operacji pozwalających na tworzenie i modyfikowanie elementów w Exchange (wiadomości e-mail, wpisów w kalendarzu, kontaktów). Usługi EWS wykorzystują standard Simple Object Access Protocol (SOAP) pozwalający na wymianę danych pomiędzy programami. PHP 5 zawiera rozszerzenie SOAP, które znacznie upraszcza konfigurowanie komunikatów dla EWS. W tym rozdziale przedstawię zmodyfikowaną klasę SOAPClient zapewniającą szyfrowanie HTTPS oraz uwierzytelnianie zgodne z NT LAN Manager (NTLM). Aby program mógł komunikować się z EWS, konieczne jest znalezienie adresu URL EWD dla użytkownika. Jeżeli domena zawiera kilka serwerów Exchange, dane użytkowników mogą być przechowywane na różnych serwerach. Do określenia serwera, na którym znajduje się skrzynka pocztowa użytkownika, możesz użyć usługi Autodiscover.

Wymagane rozszerzenia PHP Aby można było korzystać z EWS w programie PHP, konieczne jest włączenie następujących rozszerzeń: „

SOAP — rozszerzenie to obsługuje komunikację z EWS za pomocą komunikatów SOAP bazujących na definicji interfejsu Web Services Description Language (WSDL).

496 CZĘŚĆ IV Serwer Exchange „

cURL — rozszerzenie to jest niezbędne, ponieważ rozszerzenie PHP SOAP nie obsługuje uwierzytelniania NTLM, wymaganego w EWS.

„

OpenSSL — zwykle komunikacja z EWS jest szyfrowana za pomocą HTTPS. Rozszerzenie OpenSSL jest konieczne, aby można było korzystać z adresów HTTPS w cURL.

Ponieważ wszystkie te rozszerzenia są dostępne w instalacji PHP, wystarczy je aktywować w pliku php.ini. 1. Otwórz plik php.ini (c:\php\php.ini) w edytorze tekstu. 2. Dodaj poniższe wiersze: extension=php_curl.dll extension=php_openssl.dll extension=php_soap.dll

3. Zapisz plik. 4. Zrestartuj pulę aplikacji serwera IIS obsługującą PHP. 5. Użyj phpinfo() do sprawdzenia, czy rozszerzenia te są aktywne.

Jeżeli masz zainstalowany program PHP Manager, możesz aktywować te rozszerzenia w sekcji PHP Extensions, klikając łącze Enable lub Disable Extension. Po wykonaniu opisanych tu operacji rozszerzenia wymagane do programowania EWS są gotowe do pracy. Musisz teraz zidentyfikować odpowiedni adres URL dla EWS, co jest opisane w następnym podrozdziale.

Usługa Autodiscover Serwer Exchange posiada funkcję automatycznego odczytywania danych konfiguracyjnych użytkownika. Pozwala to ograniczyć nakład pracy na administrowanie systemem, co jest szczególnie ważne w dużych instalacjach Exchange. Konfiguracja użytkownika jest odczytywana automatycznie. Exchange Server 2010 zawiera dwie wersje usługi Autodiscover: proste dane XLM (POX) oraz SOAP. Ponieważ wersja POX tej usługi jest łatwiejsza do wykorzystania w PHP, w książce tej przedstawiona jest wyłącznie ta wersja.

W jaki sposób Autodiscover wyszukuje dane konfiguracyjne Aby komunikować się z EWS, musisz użyć usługi Autodiscover w celu wykonania następujących operacji: „

odczytanie adresu URL dla usługi Autodiscover na podstawie adresu e-mail;

„

pobranie danych konfiguracyjnych;

„

podłączenie do EWS z użyciem adresu URL konfiguracji.

ROZDZIAŁ 20. Usługi sieciowe Exchange 497

Adres URL usługi Autodiscover jest budowany na bazie adresu e-mail użytkownika. Na przykład na podstawie adresu e-mail [email protected] określane są następujące dane: UWAGA Poniższy proces faktycznie opisuje operacje wykonywane przez program Outlook. Aby pobrać adres Autodiscover, powinieneś zrealizować te same operacje. Zwróć uwagę, że Outlook również szuka danych w Microsoft Active Directory. „

Pobierana bazowa nazwa domeny znajdująca się w adresie e-mail: xmp.site.

„

Możliwy 1. adres URL: https://xmp.site/Autodiscover/Autodiscover.xml.

„

Możliwy 2. adres URL: https://autodiscover.xmp.site/Autodiscover/Autodiscover.xml.

„

Przekierowanie HTTP: http://autodiscover.xmp.site/Autodiscover/Autodiscover.xml (przekierowuje do adresu URL HTTPS w celu użycia usługi Autodiscover do pobrania danych konfiguracyjnych).

„

Rekordy usługi (SVR) w DNS: rekord dla _autodiscover._tcp.xmp.site, zawierający nazwę domeny dla konfiguracji. Na przykład jeżeli rekord zawiera nazwę domeny extern.xmp.site, możesz pobrać konfigurację z https://extern.xmp.site/Autodiscover/Autodiscover.xml.

Konkretna metoda określenia adresu URL zależy od konfiguracji serwera Exchange. WAŻNE Ponieważ dostęp jest realizowany za pomocą HTTPS, wymagany jest certyfikat z nazwą domeny. W przypadku małych instalacji Exchange serwer musi mieć kilka adresów IP w celu skonfigurowania różnych certyfikatów lub certyfikat musi zawierać kilka nazw.

Dane konfiguracyjne Jeżeli znasz adres URL usługi Autodiscover, możesz jej użyć do pobrania danych konfiguracyjnych dla użytkownika. Na listingu 20.1 zamieszczony jest fragment tych danych. Adresy URL w elementach ASUrl oraz EwsUrl są bardzo istotne przy korzystaniu z EWS. Zawierają one adresy URL dostępu zewnętrznego (https://mail.phpdemo.site/ews/exchange.asmx) oraz wewnętrznego dostępu intranetowego (https://doco-exch.xmp.site/EWS/Exchange.asmx). LISTING 20.1. Odpowiedź POX z usługi Autodiscover Dorota Lachowicz /o=XMP/ou=Exchange Administrative Group (FYDIBOHF23SPDLT) /cn=Recipients/cn=Dorota Lachowicz 2a4df4d0-8bd0-487d-abc5-1cc233d5500e

498 CZĘŚĆ IV Serwer Exchange email settings EXCH DOCO-EXCH.xmp.site /o=XMP/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration /cn=Servers/cn=DOCO-EXCH ... https://doco-exch.xmp.site/EWS/Exchange.asmx https://doco-exch.xmp.site/EWS/Exchange.asmx ... WEB https://doco-exch.xmp.site/owa/ EXCH https://doco-exch.xmp.site/EWS/Exchange.asmx https://mail.phpdemo.site/owa/ EXPR https://mail.phpdemo.site/ews/exchange.asmx

W tych danych XML można również znaleźć nazwę użytkownika (DisplayName), serwer poczty e-mail (Server) oraz nazwę rozpoznawalną (DN) serwera dla Active Directory (ServerDN). UWAGA Kompletny opis wszystkich elementów w odpowiedzi POX z usługi Autodiscover można znaleźć na stronie MSDN pod adresem http://msdn.microsoft.com/en-us/library/bb204082.aspx.

Pobieranie danych konfiguracyjnych Usługa Autodiscover wymaga uwierzytelniania NTLM (przy domyślnej konfiguracji Exchange). Możesz użyć do tego danych dowolnego użytkownika z uprawnieniami odczytu obiektów w Active Directory. Wyszukiwany adres e-mail jest przekazywany w strukturze XML i wysyłany za pomocą żądania HTTP POST na adres URL usługi Autodiscover. W zamieszczonych dalej funkcjach zakładam, że adres URL korzysta z HTTPS oraz uwierzytelniania NTLM. Przekierowania HTTP oraz wpisy SVR nie są brane pod uwagę.

ROZDZIAŁ 20. Usługi sieciowe Exchange 499

Odpytywanie za pomocą cURL Na listingu 20.2 pokazałem, jak użyć rozszerzenia PHP, cURL, do pobierania danych konfiguracyjnych: „

Na początek generowane jest żądanie XML ($request). OSTRZEŻENIE Adres URL w elemencie AcceptableResponseSchema nie może zawierać spacji ani znaków nowego wiersza.

„

Funkcja curl_setopt_array() konfiguruje parametry połączenia. Ważnymi parametrami są CURLOPT_HTTPAUTH, CURLOPT_USERPWD oraz CURLOPT_CAINFO: pierwsze dwa zawierają dane potrzebne do uwierzytelniania NTLM, a ostatni zawiera dane certyfikatu HTTPS. Żądanie XML jest przekazywane w CURLOPT_POSTFIELDS.

„

Funkcja curl_exec() wysyła żądanie HTTP i zwraca odpowiedź użytkownikowi. UWAGA Funkcja ta nie zawiera zapytań dotyczących błędów (curl_error() lub curl_getinfo()) i nie analizuje kodu XML, który może zawierać komunikaty błędów. Warto o tym pamiętać przy przekazywaniu aplikacji do środowiska produkcyjnego.

LISTING 20.2. autodiscover.php — odczyt danych Autodiscover z użyciem TLS i uwierzytelniania NTLM $email http://schemas.microsoft.com/exchange/autodiscover/outlook/ ´responseschema/2006a EOF; $ch = curl_init("https://$host/Autodiscover/Autodiscover.xml"); curl_setopt_array($ch, array( CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1, CURLOPT_POST => true,

500 CZĘŚĆ IV Serwer Exchange CURLOPT_USERAGENT => 'PHP-cURL/NTLM', CURLOPT_HTTPAUTH => CURLAUTH_NTLM, CURLOPT_USERPWD => "$login:$password", CURLOPT_SSL_VERIFYPEER => true, CURLOPT_SSL_VERIFYHOST => 2, CURLOPT_CAINFO => $CAcert, CURLOPT HTTPHEADER => array('Content-Type: text/xml; charset=utf-8'), CURLOPT_POSTFIELDS => $request, CURLOPT RETURNTRANSFER => true )); $response = curl exec($ch); curl_close($ch); return $response; } ?>

Ścieżka przekazana do CURLOPT_CAINFO musi wskazywać na zakodowany metodą base-64 (PEM, CER) główny certyfikat urzędu certyfikacji (CA), który wystawił certyfikat HTTPS dla Exchange. Jeżeli jest to zewnętrzny urząd certyfikacji, pobierz główny certyfikat z jego witryny i zapisz na dysku lokalnym. Jeżeli korzystasz z własnego CA działającego w oparciu o usługi certyfikatów w usłudze Active Directory, możesz wyeksportować główny certyfikat za pomocą Microsoft Management Console (MMC). Możesz również użyć programu Microsoft Internet Explorer do wyeksportowania głównego certyfikatu z serwera domeny. W tym celu kliknij ikonę Narzędzia, a następnie wybierz Opcje internetowe. Na zakładce Zawartość kliknij przycisk Certyfikaty, a następnie wybierz zakładkę Zaufane główne urzędy certyfikacji. Opcja CURLOPT_SSL_VERIFYHOST pozwala określić, czy nazwa domeny Exchange musi być załączona w certyfikacie: zalecana wartość (2) powoduje, że wykonywane jest sprawdzenie, czy nazwa w certyfikacie odpowiada nazwie hosta.

Analiza danych konfiguracyjnych Na listingu 20.3 pokazane jest, jak można użyć rozszerzenia PHP SimpleXML do pobrania adresu URL z EWS. Na listingu tym adresy URL są pobierane za pomocą dwóch wyrażeń XPath. Zwracana jest tablica adresów URL dla połączeń EWS, ponieważ dla większych instalacji Exchange może być zdefiniowanych kilka adresów URL. Skrypt ten zwraca wyłącznie pierwszy wewnętrzny i zewnętrzny adres URL (indeks 0). LISTING 20.3. Pobieranie wewnętrznego i zewnętrznego adresu URL dla EWS
ROZDZIAŁ 20. Usługi sieciowe Exchange 501 $xml = new \SimpleXMLElement($response); $xml->registerXPathNamespace( 'ex', 'http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a'); $intern = $xml->xpath('//ex:Internal//ex:ASUrl'); $extern = $xml->xpath('//ex:External//ex:ASUrl'); echo "