Il peut être utile dans l'optique de rajouter de la sécurité dans un script PHP de consulter les permissions NTFS d'un répertoire avant d'y accéder. Microsoft fournit dans son ressource kit un outils en ligne de commande nommé CACLS ( Télécharger ici ). Cet utilitaire est capable de lire les permissions NTFS :

• Les utilisateurs ou groupes.
• Le niveau de permission ( Aucun, lecture, écriture, modification, control total )

L'inconvénient dans une architecture de type domaine comportant des groupes et qu'il ne peut pas lister les membres finaux ( utilisateurs ). Couplé à un requèteur LDAP, il est possible de connaitre pour chaque utilisateur son niveau d'accès !

Le script PHP-CLI ( voir l'article PHP-CLI Command Line Interface ) que je vous propose s'exécute depuis la ligne de commande. Il est facilement adaptable pour fonctionner depuis une page web ( remplacer les \r\n par des <BR> ).


Ce script accepte un paramètre : le chemin d'accès réseau ou local du répertoire ( UNC ). Certaines variables doivent être modifiées afin de correspondre à votre configuration :

"MyDomaine"	Le nom Netbios de votre domaine ( HOME par exemple ).
$ldap_server	L'adresse du serveur LDAP ( controleur de domaine ldap://MyServer.MyDomain par exemple )
$auth_user	Nom d'utilisateur AD pour le Bind. ( MyDomain\UserName par exemple )
$auth_pass	Mot de passe associé au compte.

$Folder = $argv[1]; ShowSecurity($Folder,"MyDomaine"); function ShowSecurity($Folder,$Domain) { $Command = "cacls ".chr(34).$Folder.chr(34); exec($Command,$Result); foreach($Result as $Key => $Value) { if ( left($Value,1) != " " ) { $Message = ""; for($i=strlen($Value);$i>0;$i--) { if (mid($Value,$i,1) == " " && $Message == "") $Message = right($Value,strlen($Value)-$i); } } else $Message = trim($Value); // Cleanup results $Message = str_replace("(OI)","",$Message); $Message = str_replace("(CI)","",$Message); // Permissions $Perms = split(":",$Message); $Message = $Perms[0]; $Permissions = $Perms[1]; // Filter results $Filtered = FALSE; if ( ereg("AUTHORITY",$Message) ) { $Filtered = TRUE; } if ( ereg("BUILTIN",$Message) && !ereg("Users",$Message) ) { $Filtered = TRUE; } if ( ereg("Account Domain not found",$Message) ) { $Filtered = TRUE; } if ( ereg("GENERIC_READ",$Message) ) { $Filtered = TRUE; } if ( ereg("GENERIC_EXECUTE",$Message) ) { $Filtered = TRUE; } if ( !$Filtered && $Message != "" ) { echo $Message; for ($i=1;$i<=strlen($Permissions);$i++) { if ( mid($Permissions,$i,1) == "N" ) { echo " [None] \r\n"; } if ( mid($Permissions,$i,1) == "R" ) { echo " [Read] \r\n"; } if ( mid($Permissions,$i,1) == "W" ) { echo " [Write] \r\n"; } if ( mid($Permissions,$i,1) == "C" ) { echo " [Change] \r\n"; } if ( mid($Permissions,$i,1) == "F" ) { echo " [Full] \r\n"; } } echo "\r\n"; if ( left($Message,5) == strtoupper($Domain)."\\" ) ListGroupMembership(right($Message,strlen($Message)-5)); } } } function ListGroupMembership($GroupName) { $ldap_server = "ldap://MyServer.MyDomaine"; $auth_user = "MyDomaine\Account"; $auth_pass = "Password"; // Set the base dn to search the entire directory. $base_dn = "ou=usr, ou=objects, DC=my, DC=domain, DC=org"; // connect to server if (!($connect=@ldap_connect($ldap_server))) { die("Could not connect to ldap server"); } // bind to server if (!($bind=@ldap_bind($connect, $auth_user, $auth_pass))) { die("Unable to bind to server"); } $filter = "(&(cn=".$GroupName."))"; $justthese = array("member"); // search active directory if (!($search=@ldap_search($connect, $base_dn, $filter,$justthese))) { die("Unable to search ldap server"); } $number_returned = ldap_count_entries($connect,$search); $info = ldap_get_entries($connect, $search); foreach ($info as $Key => $Value ) { $members = $info[$Key]["member"]; for($i=0;$i<=count($members)-2;$i++) { $Member = str_replace("CN=","",$members[$i]); $Splitted = split(":",$Member); $MemberName = $Splitted[0]; echo " ".$MemberName."\r\n"; } } } function left($value,$NbChar) { return substr($value,0,$NbChar); } function right($value,$NbChar) { return substr($value,strlen($value)-$NbChar,$NbChar); } function mid($value,$Depart,$NbChar) { return substr($value,$Depart-1,$NbChar); } Liens Complémentaires

Commentaires  | Ajouter un commentaire

-

Aucun commentaire.

Rechercher sur internet  ?  | Rechercher!

Trackback

Utilisez le lien http://www.sunyday.net/trackback-permissions-NTFS-et-AD-en-PHP pour faire un trackback vers cette article depuis votre site web. Les trackbacks sont soumis à une approbation mutuelle et susceptibles d'être supprimés si jugés indésirables.