Help us understand the problem. What is going on with this article?

LaravelでAD認証を導入する

More than 1 year has passed since last update.

環境

PHP : 7.3
Laravel : 5.8.2(5.5~対応)

はじめに

注意

「adldap2-laravel」を利用してAuthの認証方法をActive Directory認証に変更する手順です。
Docker環境での手順となる為、後述のLDAP有効化手順部分については環境ごとに相違があるので必要であれば別途調べてください。

本記事の実装内容

ADサーバからの取得項目

  • samaccountname
    • usernameとしてUsersテーブルに格納
  • mail
    • emailとしてUsersテーブルに格納
  • cn
    • nameとしてUsersテーブルに格納

認証に使う項目

  • samaccountname
  • パスワード

備考

samaccountnameには「ユーザ名@ドメイン」という値が入っている。
ログイン時に@以降まで入力するのはめんどくさいので
接尾辞を自動付与するように設定し、ユーザ名のみでログインできるようにしている。

下準備(LDAPの有効化とadldap2-laravelインストール)

LDAPの有効化

まず必要なパッケージをインストールします。

Console
apt-get install -y ldap-utils libldap2-dev

phpのldapエクステンションの有効化(dockerコンテナでのやり方)

Console
docker-php-ext-configure ldap --with-libdir=lib/x86_64-linux-gnu/
Console
docker-php-ext-install ldap

有効化結果確認

下記コマンドに「ldap」が追加されているか確認します。

Console
php -m

「php -m」コマンドにldapが存在しない場合、「/usr/local/php/conf.d/」に「docker-php-ext-ldap.ini」ファイルを作成します。(dockerコンテナでのやり方)
iniファイルの配置場所は環境によって違うかと思いますので、ご自身の環境に合わせて手順を実施してください。

docker-php-ext-ldap.ini
extension=ldap.so

実作業

新規のプロジェクトを作成して手順を示します。もちろん既存のプロジェクトに改修をかけても大丈夫です。

新規プロジェクト作成

新規のLaravelプロジェクトを作成します。

Console
composer create-project laravel/laravel ldap-test

adldap2-laravelのインストール

プロジェクトのディレクトリ内に移動し、composerコマンドでadldap2-laravelをインストールします。

Console
cd ldap-test
composer require adldap2/adldap2-laravel

エイリアスの登録

app.php
vi config/app.php

//~略~

'aliases' => [
    // already existing façade aliases

    'Adldap' => Adldap\Laravel\Facades\Adldap::class,  //←エイリアスの配列にこの記述を追加
],

//~略~

サービスプロバイダの発行

Console
php artisan vendor:publish --provider="Adldap\Laravel\AdldapServiceProvider"
php artisan vendor:publish --provider="Adldap\Laravel\AdldapAuthServiceProvider"

認証ドライバを変更

authに使う認証ドライバを、デフォルト(eloquent)からldapへ変更します。

auth.php
vi config/auth.php

//~略~

'providers' => [
    'users' => [
        'driver' => 'ldap', //←ここを'eloquent'から'ldap'へ変更
        'model'  => App\User::class,
    ],
],

//~略~

.envファイルの編集

.envファイルにadldap2-laravel用の定数を追記します。
※"LDAP_USER_ATTRIBUTE=samaccountname"は、認証に使うActive Directoryの項目を指定しています。環境や要件に応じて適宣変更してください。

.env
vi .env

LDAP_HOSTS=example.co.jp
LDAP_BASE_DN=dc=example,dc=co,dc=jp
LDAP_USER_ATTRIBUTE=samaccountname
LDAP_USER_FORMAT=samaccountname=%s,dc=example,dc=co,dc=jp
LDAP_CONNECTION=default
LDAP_ACCOUNT_SUFFIX=@example.co.jp

~略~

マイグレーションファイルの編集

プロジェクト作成時にデフォルトで生成されるauth用のuserモデルに対するマイグレーションファイルをAD認証用のカラム構成に変更します。
カラム名は任意なので、ADから取得したい項目や、プロジェクトの仕様に合わせて適宜変更してください。
※既存のプロジェクトを利用し、既にuserモデルが存在する場合はそれを適宜変更してください。

2014_10_12_000000_create_users_table.php
vi database/migrations/2014_10_12_000000_create_users_table.php

<?php

use Illuminate\Support\Facades\Schema;
use Illuminate\Database\Schema\Blueprint;
use Illuminate\Database\Migrations\Migration;

class CreateUsersTable extends Migration
{
    /**
     * Run the migrations.
     *
     * @return void
     */
    public function up()
    {
        Schema::create('users', function (Blueprint $table) {
            $table->bigIncrements('id');
            $table->string('name');
            $table->string('username'); //←追加
            $table->string('email')->unique();
            //$table->timestamp('email_verified_at')->nullable();←メール認証は不要なので削除します。
            $table->string('password'); //←ここには空文字が登録されます。不要な気もするが参考資料は削除してないので真似します・・・。
            $table->rememberToken();//←passwordと同じく参考資料の真似。
            $table->timestamps();
        });
    }

    /**
     * Reverse the migrations.
     *
     * @return void
     */
    public function down()
    {
        Schema::dropIfExists('users');
    }
}

パスワードリセット用マイグレーションファイルの削除

パスワードリセット機能は今回使用しないので、そのマイグレーションファイルを削除します。

Console
rm -f database/migrations/2014_10_12_100000_create_password_resets_table.php

マイグレーション実行

テーブルを生成します。

Console
php artisan migrate

auth認証を生成

プロジェクトにauthを生成します。

Console
php artisan make:auth

LDAPの設定変更

2種類のconfigファイルをいじくります。基本的には「.env」で定義しているので、変更箇所は少ないです。
※長くなるので、コメント部分は省略します。

ldap.php
vi config/ldap.php

<?php

return [
    'logging' => env('LDAP_LOGGING', false),
    'connections' => [
        'default' => [
            'auto_connect' => env('LDAP_AUTO_CONNECT', true),
            'connection' => Adldap\Connections\Ldap::class,
            'settings' => [
                'schema' => Adldap\Schemas\ActiveDirectory::class,
                'account_prefix' => env('LDAP_ACCOUNT_PREFIX', ''),
                'account_suffix' => env('LDAP_ACCOUNT_SUFFIX', ''),
                'hosts' => explode(' ', env('LDAP_HOSTS', 'example.co.jp')),//←変更
                'port' => env('LDAP_PORT', 389),
                'timeout' => env('LDAP_TIMEOUT', 5),
                'base_dn' => env('LDAP_BASE_DN', 'dc=example,dc=co,dc=jp'),//←変更
                'username' => env('LDAP_USERNAME'),
                'password' => env('LDAP_PASSWORD'),
                'follow_referrals' => false,
                'use_ssl' => env('LDAP_USE_SSL', false),
                'use_tls' => env('LDAP_USE_TLS', false),
            ],
        ],
    ],
];
ldap_auth.php
vi config/ldap_auth.php

<?php

return [
    'connection' => env('LDAP_CONNECTION', 'default'),
    'provider' => Adldap\Laravel\Auth\DatabaseUserProvider::class,
    'model' => App\User::class,
    'rules' => [
        Adldap\Laravel\Validation\Rules\DenyTrashed::class,
    ],
    'scopes' => [
    ],
    'identifiers' => [
        'ldap' => [
            'locate_users_by' => env('LDAP_USER_ATTRIBUTE','samaccountname'),//←変更
            'bind_users_by' => env('LDAP_USER_ATTRIBUTE','samaccountname'),//←変更
        ],
        'database' => [
            'guid_column' => 'email',//←変更
            'username_column' => 'username',
        ],
        'windows' => [
            'locate_users_by' => 'samaccountname',
            'server_key' => 'AUTH_USER',
        ],
    ],
    'passwords' => [
        'sync' => env('LDAP_PASSWORD_SYNC', false),
        'column' => 'password',
    ],
    'login_fallback' => env('LDAP_LOGIN_FALLBACK', false),
    'sync_attributes' => [
        'email' => 'mail',//←変更
        'username' => env('LDAP_USER_ATTRIBUTE'),//←変更
        'name' => 'cn',
    ],
    'logging' => [
        'enabled' => env('LDAP_LOGGING', true),
        'events' => [
            \Adldap\Laravel\Events\Importing::class => \Adldap\Laravel\Listeners\LogImport::class,
            \Adldap\Laravel\Events\Synchronized::class => \Adldap\Laravel\Listeners\LogSynchronized::class,
            \Adldap\Laravel\Events\Synchronizing::class => \Adldap\Laravel\Listeners\LogSynchronizing::class,
            \Adldap\Laravel\Events\Authenticated::class => \Adldap\Laravel\Listeners\LogAuthenticated::class,
            \Adldap\Laravel\Events\Authenticating::class => \Adldap\Laravel\Listeners\LogAuthentication::class,
            \Adldap\Laravel\Events\AuthenticationFailed::class => \Adldap\Laravel\Listeners\LogAuthenticationFailure::class,
            \Adldap\Laravel\Events\AuthenticationRejected::class => \Adldap\Laravel\Listeners\LogAuthenticationRejection::class,
            \Adldap\Laravel\Events\AuthenticationSuccessful::class => \Adldap\Laravel\Listeners\LogAuthenticationSuccess::class,
            \Adldap\Laravel\Events\DiscoveredWithCredentials::class => \Adldap\Laravel\Listeners\LogDiscovery::class,
            \Adldap\Laravel\Events\AuthenticatedWithWindows::class => \Adldap\Laravel\Listeners\LogWindowsAuth::class,
            \Adldap\Laravel\Events\AuthenticatedModelTrashed::class => \Adldap\Laravel\Listeners\LogTrashedModel::class,
        ],
    ],
];

Loginコントローラの変更

コントローラを丸々下記に書き換えます。

LoginController.php
vi app/Http/Controllers/Auth/LoginController

<?php

namespace App\Http\Controllers\Auth;

use App\Http\Controllers\Controller;
use Illuminate\Foundation\Auth\AuthenticatesUsers;
use Adldap\Laravel\Facades\Adldap;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;

class LoginController extends Controller
{
    /*
    |--------------------------------------------------------------------------
    | Login Controller
    |--------------------------------------------------------------------------
    |
    | This controller handles authenticating users for the application and
    | redirecting them to your home screen. The controller uses a trait
    | to conveniently provide its functionality to your applications.
    |
    */

    use AuthenticatesUsers;

    /**
     * Where to redirect users after login.
     *
     * @var string
     */
    protected $redirectTo = '/';

    /**
     * Create a new controller instance.
     *
     * @return void
     */
    public function __construct()
    {
        $this->middleware('guest')->except('logout');
    }
    public function username()
    {
    return 'username';
    }


    protected function validateLogin(Request $request)
    {
        $this->validate($request, [
            $this->username() => 'required|string',
            'password' => 'required|string',
        ]);
    }

    protected function attemptLogin(Request $request)
    {
        $credentials = $request->only($this->username(), 'password');
        $username = $credentials[$this->username()];
        $password = $credentials['password'];

        $user_format = env('LDAP_USER_FORMAT', 'cn=%s,'.env('LDAP_BASE_DN', ''));
        $userdn = sprintf($user_format, $username);
        // you might need this, as reported in
        // [#14](https://github.com/jotaelesalinas/laravel-simple-ldap-auth/issues/14):
        //  Adldap::auth()->bind($userdn, $password);



    if(Adldap::auth()->attempt($username,$password,$bindAsUser = true)){
        //if(Adldap::auth()->attempt($userdn, $password, $bindAsUser = true)) {
            // the user exists in the LDAP server, with the provided password

            $user = \App\User::where($this->username(), $username)->first();
            if (!$user) {
                // the user doesn't exist in the local database, so we have to create one

                $user = new \App\User();
                $user->username = $username;
                $user->password = '';

                // you can skip this if there are no extra attributes to read from the LDAP server
                // or you can move it below this if(!$user) block if you want to keep the user always
                // in sync with the LDAP server 
                $sync_attrs = $this->retrieveSyncAttributes($username . env('LDAP_ACCOUNT_SUFFIX'));

                foreach ($sync_attrs as $field => $value) {
                    $user->$field = $value !== null ? $value : '';
                }
            }


            // by logging the user we create the session, so there is no need to login again (in the configured time).
            // pass false as second parameter if you want to force the session to expire when the user closes the browser.
            // have a look at the section 'session lifetime' in `config/session.php` for more options.
            $this->guard()->login($user, true);
            return true;
        }

        // the user doesn't exist in the LDAP server or the password is wrong
        // log error
        return false;
    }

    protected function retrieveSyncAttributes($username)
    {
        $ldapuser = Adldap::search()->findBy('userprincipalname',$username);
        if ( !$ldapuser ) {
            // log error
            return false;
        }
        // if you want to see the list of available attributes in your specific LDAP server:
        // var_dump($ldapuser->attributes); exit;

        // needed if any attribute is not directly accessible via a method call.
        // attributes in \Adldap\Models\User are protected, so we will need
        // to retrieve them using reflection.
        $ldapuser_attrs = null;

        $attrs = [];

        foreach (config('ldap_auth.sync_attributes') as $local_attr => $ldap_attr) {
            if ( $local_attr == 'username' ) {
                continue;
            }

            $method = 'get' . $ldap_attr;
            if (method_exists($ldapuser, $method)) {
                $attrs[$local_attr] = $ldapuser->$method();
                continue;
            }

            if ($ldapuser_attrs === null) {
                $ldapuser_attrs = self::accessProtected($ldapuser, 'attributes');
            }

            if (!isset($ldapuser_attrs[$ldap_attr])) {
                // an exception could be thrown
                $attrs[$local_attr] = null;
                continue;
            }

            if (!is_array($ldapuser_attrs[$ldap_attr])) {
                $attrs[$local_attr] = $ldapuser_attrs[$ldap_attr];
            }

            if (count($ldapuser_attrs[$ldap_attr]) == 0) {
                // an exception could be thrown
                $attrs[$local_attr] = null;
                continue;
            }

            // now it returns the first item, but it could return
            // a comma-separated string or any other thing that suits you better
            $attrs[$local_attr] = $ldapuser_attrs[$ldap_attr][0];
            //$attrs[$local_attr] = implode(',', $ldapuser_attrs[$ldap_attr]);
        }

        return $attrs;
    }

    protected static function accessProtected ($obj, $prop)
    {
        $reflection = new \ReflectionClass($obj);
        $property = $reflection->getProperty($prop);
        $property->setAccessible(true);
        return $property->getValue($obj);
    }

}

ルーティングの設定

ログイン機能周りのルーティングについて、「Auth:routes();」を設定していると
本来不要なパスワードリセット等もルーティング設定されてしまうため、変更します。

web.php
vi routes/web.php

<?php

//Auth::routes();←これを無効にする

Route::get('login', 'Auth\LoginController@showLoginForm')->name('login');//←追加
Route::post('login', 'Auth\LoginController@login');//←追加
Route::post('logout', 'Auth\LoginController@logout')->name('logout');//←追加

ログイン画面のviewファイルを変更

下記の部分がemailで認証するような表記になっているので、それをusernameで認証するよう変更します。
また、「パスワードを忘れた場合」のリンクは不要なので削除します。

login.blade.php
vi resources/views/auth/login.blade.php

<div class="form-group row">
<label for="username" class="col-md-4 col-form-label text-md-right">User Name</label>

<div class="col-md-6">
    <input id="username" type="username" class="form-control{{ $errors->has('username') ? ' is-invalid' : '' }}"                 
        name="username" value="{{ old('username') }}" required autofocus>
        @if ($errors->has('username'))
            <span class="invalid-feedback" role="alert">
                <strong>{{ $errors->first('username') }}</strong>
            </span>
        @endif
    </div>
</div>

//-----------------この部分は削除-----------------

<a class="btn btn-link" href="{{ route('password.request') }}">
    {{ __('Forgot Your Password?') }}
</a>

//-----------------ここまで-----------------

不要ファイルの削除

Auth関連で、不要になったファイルを削除します。

Console

rm -f app/Http/Controllers/Auth/ForgotPasswordController.php
rm -f app/Http/Controllers/Auth/RegisterController.php
rm -f app/Http/Controllers/Auth/ResetPasswordController.php
rm -f app/Http/Controllers/Auth/VerificationController.php
rm -f resources/views/auth/register.blade.php
rm -f resources/views/auth/verify.blade.php
rm -fr resources/views/auth/passwords

完成!試してみる

下記コマンドを実行し、「 http://localhost:8000 」にアクセスし、ADに登録されているアカウントでログインしてください。

Console
php artisan serve --host 0.0.0.0

参考資料

https://github.com/jotaelesalinas/laravel-simple-ldap-auth

yukke7624
首都圏で活動中の25歳のフリーランスシステムエンジニア | phpスキル強化中 | 調理系の高校で調理技術&調理師免許を取得(料理が上手いとは言ってない)→情報処理科の専門学校で2年勉強(2年間で習得したのはSelect句のみ)→某メーカー系SIerで3年半お仕事→独立 | 趣味はレーシングカートと車
https://saab-tech.com
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした