SUNYDAY.NET | permissions NTFS et AD en PHP

Il peut être utile dans l'optique de rajouter de la sécurité dans un script PHP de consulter les permissions NTFS d'un répertoire avant d'y accéder. Microsoft fournit dans son ressource kit un outils en ligne de commande nommé CACLS ( Télécharger ici ). Cet utilitaire est capable de lire les permissions NTFS :

Les utilisateurs ou groupes.
Le niveau de permission ( Aucun, lecture, écriture, modification, control total )

L'inconvénient dans une architecture de type domaine comportant des groupes et qu'il ne peut pas lister les membres finaux ( utilisateurs ). Couplé à un requèteur LDAP, il est possible de connaitre pour chaque utilisateur son niveau d'accès !

Le script PHP-CLI ( voir l'article PHP-CLI Command Line Interface ) que je vous propose s'exécute depuis la ligne de commande. Il est facilement adaptable pour fonctionner depuis une page web ( remplacer les \r\n par des <BR> ).

D:\Temp>php -q ShowSecurity.php \\FRSSSMSFR0\Public\JD
  Everyone [Change]

  EAME\ADM_ResAdmin_Site_L [Full]
    Prado Thierry
    Pogolotti Jean-Damien
    Fortegas Fabrice
    Galier Clement

Ce script accepte un paramètre : le chemin d'accès réseau ou local du répertoire ( UNC ). Certaines variables doivent être modifiées afin de correspondre à votre configuration :

"MyDomaine"	Le nom Netbios de votre domaine ( HOME par exemple ).
$ldap_server	L'adresse du serveur LDAP ( controleur de domaine ldap://MyServer.MyDomain par exemple )
$auth_user	Nom d'utilisateur AD pour le Bind. ( MyDomain\UserName par exemple )
$auth_pass	Mot de passe associé au compte.

$Folder = $argv[1];
 ShowSecurity($Folder,"MyDomaine");

function ShowSecurity($Folder,$Domain)
  {
   $Command = "cacls ".chr(34).$Folder.chr(34);

exec($Command,$Result);
   foreach($Result as $Key => $Value)
    {
     if ( left($Value,1) != " " )
      {
       $Message = "";
       for($i=strlen($Value);$i>0;$i--)
        {
         if (mid($Value,$i,1) == " " && $Message == "")
          $Message = right($Value,strlen($Value)-$i);
        }
      }
     else
      $Message = trim($Value);

// Cleanup results
     $Message = str_replace("(OI)","",$Message);
     $Message = str_replace("(CI)","",$Message);

// Permissions
     $Perms       = split(":",$Message);
     $Message     = $Perms[0];
     $Permissions = $Perms[1];

// Filter results
     $Filtered = FALSE;
     if ( ereg("AUTHORITY",$Message) ) { $Filtered = TRUE; }
     if ( ereg("BUILTIN",$Message) && !ereg("Users",$Message) ) { $Filtered = TRUE; }
     if ( ereg("Account Domain not found",$Message) ) { $Filtered = TRUE; }
     if ( ereg("GENERIC_READ",$Message) ) { $Filtered = TRUE; }
     if ( ereg("GENERIC_EXECUTE",$Message) ) { $Filtered = TRUE; }

if ( !$Filtered && $Message != "" )
      {
       echo $Message;
       for ($i=1;$i<=strlen($Permissions);$i++)
        {
         if ( mid($Permissions,$i,1) == "N" ) { echo " [None] \r\n"; }
         if ( mid($Permissions,$i,1) == "R" ) { echo " [Read] \r\n"; }
         if ( mid($Permissions,$i,1) == "W" ) { echo " [Write] \r\n"; }
         if ( mid($Permissions,$i,1) == "C" ) { echo " [Change] \r\n"; }
         if ( mid($Permissions,$i,1) == "F" ) { echo " [Full] \r\n"; }
        }
       echo "\r\n";

if ( left($Message,5) == strtoupper($Domain)."\\" )
        ListGroupMembership(right($Message,strlen($Message)-5));
      }
    }
  }

function ListGroupMembership($GroupName)
  {
   $ldap_server = "ldap://MyServer.MyDomaine";
   $auth_user = "MyDomaine\Account";
   $auth_pass = "Password";

// Set the base dn to search the entire directory.
   $base_dn = "ou=usr, ou=objects, DC=my, DC=domain, DC=org";

// connect to server
   if (!($connect=@ldap_connect($ldap_server)))
    { die("Could not connect to ldap server"); }

// bind to server
   if (!($bind=@ldap_bind($connect, $auth_user, $auth_pass)))
    { die("Unable to bind to server"); }

$filter = "(&(cn=".$GroupName."))";
   $justthese = array("member");

// search active directory
   if (!($search=@ldap_search($connect, $base_dn, $filter,$justthese)))
    { die("Unable to search ldap server"); }

$number_returned = ldap_count_entries($connect,$search);
   $info = ldap_get_entries($connect, $search);

foreach ($info as $Key => $Value )
    {
     $members = $info[$Key]["member"];
     for($i=0;$i<=count($members)-2;$i++)
      {
       $Member   = str_replace("CN=","",$members[$i]);
       $Splitted = split(":",$Member);
       $MemberName = $Splitted[0];

echo " ".$MemberName."\r\n";
      }
    }
  }

function left($value,$NbChar)
  { return substr($value,0,$NbChar); }

function right($value,$NbChar)
  { return substr($value,strlen($value)-$NbChar,$NbChar); }

function mid($value,$Depart,$NbChar)
  { return substr($value,$Depart-1,$NbChar); }

Liens Complémentaires

PHP-CLI, Command Line interface
Enumération des process via SNMP en PHP