repo_zf1Php7/documentation/manual/de/module_specs/Zend_Ldap.xml

<?xml version="1.0" encoding="UTF-8"?>
<!-- EN-Revision: 15742 -->
<!-- Reviewed: no -->
<sect1 id="zend.ldap.using">

    <title>Einleitung</title>

    <note>
        <title>Minimale Funktionalität</title>
        <para>
            Im Moment ist diese Klasse nur dafür gedacht, die beschränkte Funktionalität zu bieten,
            die für <link
                linkend="zend.auth.adapter.ldap"><classname>Zend_Auth_Adapter_Ldap</classname></link>
            nötig ist. Weiterführende Verwendungsmöglichkeiten wie das Suchen, Erstellen,
            Bearbeiten oder Umbenennen von Objekten im Verzeichnis werden im Moment nicht
            unterstützt und werden zu einem späteren Zeitpunkt hinzugefügt werden.
        </para>
    </note>

    <para>
        <classname>Zend_Ldap</classname> ist eine Klasse, mit der LDAP-Operationen, wie das
        Durchsuchen, das Bearbeiten oder die Bindung an Einträge im LDAP-Verzeichnis, durchgeführt
        werden können.
    </para>

    <sect2 id="zend.ldap.using.theory-of-operation">

        <title>Beschreibung</title>

        <para>
            Diese Komponente besteht im Moment aus zwei Klassen, <classname>Zend_Ldap</classname>
            und <classname>Zend_Ldap_Exception</classname>. Ein
            <classname>Zend_Ldap</classname>-Objekt repräsentiert konzeptionell die Bindung an einen
            einzelnen LDAP server. Die Parameter für diese Bindung können explizit oder in der form
            eines Optionen-Arrays angegeben werden.
        </para>

        <para>
            Die Verwendung von <classname>Zend_Ldap</classname> hängt von der Art Ihres LDAP-Servers
            ab und kann am besten mit einigen einfachen Beispielen erklärt werden.
        </para>

        <para>
            Wenn Sie OpenLDAP benutzen, wäre ein einfaches Beispiel das Folgende (Beachten Sie:
            Die Option <code>bindRequiresDn</code> ist wichtig, wenn Sie <emphasis>nicht</emphasis>
            Microsoft Active Directory benutzen):

            <programlisting language="php"><![CDATA[
$options = array(
    'host' => 's0.foo.net',
    'username' => 'CN=user1,DC=foo,DC=net',
    'password' => 'pass1',
    'bindRequiresDn' => true,
    'accountDomainName' => 'foo.net',
    'baseDn' => 'OU=Sales,DC=foo,DC=net',
);
$ldap = new Zend_Ldap($options);
$acctname = $ldap->getCanonicalAccountName('abaker',
                                           Zend_Ldap::ACCTNAME_FORM_DN);
echo "$acctname\n";
]]></programlisting>

        </para>

        <para>
            Wenn Sie Microsoft Active Directory nutzen, sollte das folgende Beispiel funktionieren:

            <programlisting language="php"><![CDATA[
$options = array(
    'host' => 'dc1.w.net',
    'useStartTls' => true,
    'username' => 'user1@w.net',
    'password' => 'pass1',
    'accountDomainName' => 'w.net',
    'accountDomainNameShort' => 'W',
    'baseDn' => 'CN=Users,DC=w,DC=net',
);
$ldap = new Zend_Ldap($options);
$acctname = $ldap->getCanonicalAccountName('bcarter',
                                           Zend_Ldap::ACCTNAME_FORM_DN);
echo "$acctname\n";
]]></programlisting>

            Beachten Sie, dass wir die Methode <code>getCanonicalAccountName()</code> hier nur
            benutzen, um den Domain-Name des Accounts 'bcarter' zu erhalten, weil das so ziemlich
            alles von dem wenigen Code, der im Moment in dieser Klasse vorhanden ist, verwendet.
        </para>

        <sect3 id="zend.ldap.using.theory-of-operation.username-canonicalization-automatic">

            <title>Automatische Normalisierung des Benutzernamens bei der Server-Bindung</title>

            <para>
                Wenn <code>bind()</code> mit einem nicht-DN-konformen Benutzernamen aufgerufen wird
                aber <code>bindRequiresDN</code> <constant>TRUE</constant> ist und kein Benutzername in
                DN-Form als Option angegeben wird, wird die Server-Bindung fehlschlagen. Wenn
                allerdings ein Benutzername in DN-Form im Optionen-Array übergeben wurde, wird
                <classname>Zend_Ldap</classname> sich zuerst mit diesem Benutzernamen an den Server
                binden, den Account-Domain Name für den Benutzernamen, der <code>bind()</code>
                suchen und sich dann neu mit diesem DN verbinden.
            </para>

            <para>
                Dieses Verhalten ist wichtig für <classname>Zend_Auth_Adapter_Ldap</classname>, das
                den eingegebenen Benutzernamen direkt an <code>bind()</code> weiterleitet.
            </para>

            <para>
                Das folgende Beispiel zeigt, wie der nicht DN-konforme Benutzername
                '<code>abaker</code>' mit <code>bind()</code> benutzt werden kann:

                <programlisting language="php"><![CDATA[
$options = array(
        'host' => 's0.foo.net',
        'username' => 'CN=user1,DC=foo,DC=net',
        'password' => 'pass1',
        'bindRequiresDn' => true,
        'accountDomainName' => 'foo.net',
        'baseDn' => 'OU=Sales,DC=foo,DC=net',
);
$ldap = new Zend_Ldap($options);
$ldap->bind('abaker', 'moonbike55');
$acctname = $ldap->getCanonicalAccountName('abaker',
                                           Zend_Ldap::ACCTNAME_FORM_DN);
echo "$acctname\n";
]]></programlisting>

                Der Aufruf von <code>bind()</code> in diesem Beispiel erkennt dass der Benutzername
                '<code>abaker</code>' nicht in DN-Form ist und dass <code>bindRequiresDn</code>
                <constant>TRUE</constant> ist, verwendet '<code>CN=user1,DC=foo,DC=net</code>' und
                '<code>pass1</code>' zum Verbinden, empfängt den DN für '<code>abaker</code>',
                löst die Bindung und bindet sich dann neu mit dem jetzt bekannten
                '<code>CN=Alice Baker,OU=Sales,DC=foo,DC=net</code>'.
            </para>

        </sect3>

        <sect3 id="zend.ldap.using.theory-of-operation.options">

            <title>Zend_Ldap Optionen</title>

            <para>
                Die <classname>Zend_Ldap</classname>-Komponente akzeptiert ein Array von Optionen,
                das entweder im Konstruktor oder der Methode <code>setOptions()</code> übergeben
                werden kann. Folgende Optionen sind möglich:

                <table id="zend.ldap.using.theory-of-operation.options.table">
                  <title>Zend_Ldap Optionen</title>
                  <tgroup cols="2">
                    <thead>
                      <row>
                        <entry>Name</entry>
                        <entry>Beschreibung</entry>
                      </row>
                    </thead>
                    <tbody>
                      <row>
                        <entry>host</entry>
                        <entry>
                            Host-Name des LDAP-Servers, wenn er nicht in <code>connect()</code>
                            überschrieben wird. (kann auch verwendet werden, wenn die Komponente
                            versucht, Benutzernamen in <code>bind()</code> zu normalisieren).
                        </entry>
                      </row>
                      <row>
                        <entry>port</entry>
                        <entry>
                            Port des LDAP-Servers, wenn er nicht in <code>connect()</code>
                            überschrieben wird.
                        </entry>
                      </row>
                      <row>
                        <entry>useStartTls</entry>
                        <entry>
                            Ob der LDAP-Client TLS (auch SSL-v2) verschlüsselte Übertragung
                            verwenden soll. Der Wert <constant>TRUE</constant> ist auf jeden Fall in
                            Produktivumgebungen empfohlen, damit Passwörter nicht im Klartext
                            übertragen werden. Der Standardwert ist <constant>FALSE</constant>, weil Server
                            fast immer verlangen, dass ein Verschlüsselungszertifikat
                            nachinstalliert wird.
                        </entry>
                      </row>
                      <row>
                          <entry>useSsl</entry>
                          <entry>
                            Ob der LDAP Client SSL verschüsselte Übertragung unterstützen sollten
                            oder nicht. Die <code>useSsl</code> und <code>useStartTls</code>
                            Optionen sind gegenseitig exklusiv.
                          </entry>
                        </row>
                      <row>
                        <entry>username</entry>
                        <entry>
                            Der Standard-Benutzername. Bei manchen Servern muss dieser in DN-Form
                            vorliegen.
                        </entry>
                      </row>
                      <row>
                        <entry>password</entry>
                        <entry>
                            Das Passwort des Standard-Benutzernamens.
                        </entry>
                      </row>
                      <row>
                        <entry>bindRequiresDn</entry>
                        <entry>
                            Wenn dieser Wert<constant>TRUE</constant> ist, wird
                            <classname>Zend_Ldap</classname> den Domain-Name für den Account, der
                            zur Bindung genutzt wird, suchen, wenn der Benutzername noch nicht in
                            DN-Form ist. Der Standardwert ist <constant>FALSE</constant>.
                        </entry>
                      </row>
                      <row>
                        <entry>baseDn</entry>
                        <entry>
                            Der Standard-DN, unter dem gesucht wird (bspw. Accounts). Diese Option
                            wird für die meisten Account-Bezogenen Vorgänge benötigt und sollte
                            den DN beinhalten, unter dem die Accounts liegen.
                        </entry>
                      </row>
                      <row>
                        <entry>accountCanonicalForm</entry>
                        <entry>
                            Eine Integerzahl, die die Art angibt, in der Account-Namen normalisiert
                            werden. Schauen Sie für mehr Informationen in die Tabelle
                            <emphasis>Accountnamen-Normalisierung</emphasis> weiter unten.
                        </entry>
                      </row>
                      <row>
                        <entry>accountDomainName</entry>
                        <entry>
                            Der vollqualifizierte Domain-Name, für den der LDAP-Server eine
                            Autorität ist.
                        </entry>
                      </row>
                      <row>
                        <entry>accountDomainNameShort</entry>
                        <entry>
                            Der 'Kurz'-Domain-Name für den der LDAP-Server eine Autorität ist.
                            Wird normalerweise in Windows-Netzwerken genutzt, um NetBIOS-Namen zu
                            definieren, kann aber auch von Nicht-AD-Servern genutzt werden.
                        </entry>
                      </row>
                      <row>
                        <entry>accountFilterFormat</entry>
                        <entry>
                            Der LDAP-Suchfilter, der verwendet wird, um Accounts zu suchen. Dieser
                            String ist ein Ausdruck im Stil von <ulink
                                url="http://php.net/printf"><code>printf()</code></ulink>,
                            der ein '<code>%s</code>' enthalten muss, das durch den Benutzernamen
                            ersetzt wird. Der Standardwert ist
                            '<code>(&amp;(objectClass=user)(sAMAccountName=%s))</code>', es sei denn
                            <code>bindRequiresDn</code> ist <constant>TRUE</constant>. In diesem Fall ist
                            der Standardwert
                            '<code>(&amp;(objectClass=posixAccount)(uid=%s))</code>'.
                            Wenn eigene Schemata benutzt werden, muss diese Option vielleicht
                            geändert werden.
                        </entry>
                      </row>
                      <row>
                        <entry>allowEmptyPassword</entry>
                        <entry>
                            Einige LDAP Server können so konfiguriert werden das Sie ein leeres
                            Passwort als anonyme Bindung akzeptieren. Dieses Verhalten ist fast
                            immer unerwünscht. Aus diesem Grund sind leere Passwörter explizit nicht
                            erlaubt. Wenn dieser Wert auf <constant>TRUE</constant> gesetzt wird ist die
                            Übermittlung eines leeres Passwortes wärend des Bindens erlaubt.
                        </entry>
                      </row>
                      <row>
                        <entry>optReferrals</entry>
                        <entry>
                            Auf <constant>TRUE</constant> gesetzt, zeigt diese Option dem LDAP Client das
                            Referenzen gefolgt werden soll. Der Standardwert ist <constant>FALSE</constant>.
                        </entry>
                      </row>
                    </tbody>
                  </tgroup>
                </table>

            </para>

        </sect3>

        <sect3 id="zend.ldap.using.theory-of-operation.account-name-canonicalization">

            <title>Normalisierung von Accountnamen</title>

            <para>
                Die Optionen <code>accountDomainName</code> and <code>accountDomainNameShort</code>
                werden für zwei Zwecke genutzt: Erstens bieten sie Mehrdomain-Authentifizierung und
                Möglichkeiten zur Ausfallsicherung, und zweitens werden sie benutzt, um
                Benutzernamen zu normalisieren, nach der Vorgabe der Option
                <code>accountCanonicalForm</code>. Diese Option kann einen der folgenden Werte
                annehmen:

                <table id="zend.ldap.using.theory-of-operation.account-name-canonicalization.table">
                  <title>accountCanonicalForm</title>
                  <tgroup cols="3">
                    <thead>
                      <row>
                        <entry>Name</entry>
                        <entry>Wert</entry>
                        <entry>Beispiel</entry>
                      </row>
                    </thead>
                    <tbody>
                      <row>
                        <entry><code>ACCTNAME_FORM_DN</code></entry>
                        <entry>1</entry>
                        <entry>CN=Alice Baker,CN=Users,DC=example,DC=com</entry>
                      </row>
                      <row>
                        <entry><code>ACCTNAME_FORM_USERNAME</code></entry>
                        <entry>2</entry>
                        <entry>abaker</entry>
                      </row>
                      <row>
                        <entry><code>ACCTNAME_FORM_BACKSLASH</code></entry>
                        <entry>3</entry>
                        <entry>EXAMPLE\abaker</entry>
                      </row>
                      <row>
                        <entry><code>ACCTNAME_FORM_PRINCIPAL</code></entry>
                        <entry>4</entry>
                        <entry>abaker@example.com</entry>
                      </row>
                    </tbody>
                  </tgroup>
                </table>

            </para>

            <para>
                Die standardmäßige Normalisierung hängt davon am, welche Optionen zum Account-DN
                übergeben wurden. Wenn <code>accountDomainNameShort</code> angegeben wurde, ist
                der Standardwert von <code>accountCanonicalForm</code>
                <code>ACCTNAME_FORM_BACKSLASH</code>. Wenn dagegen <code>accountDomainName</code>
                angegeben wurde, ist der Standardwert <code>ACCTNAME_FORM_PRINCIPAL</code>.
            </para>

            <para>
                Die Normalisierung von Account-Namen stellt sicher, dass der String, der zur
                Identifizierung eines Accounts verwendet wird, einheitlich ist, egal was
                an <code>bind()</code> übergeben wurde. Wenn der Benutzer bspw.
                <emphasis>abaker@example.com</emphasis> oder einfach <emphasis>abaker</emphasis>
                als Benutzernamen angibt und <code>accountCanonicalForm</code> auf 3 gesetzt ist,
                wird der normalisierte Name <emphasis>EXAMPLE\abaker</emphasis> sein.
            </para>

        </sect3>

        <sect3 id="zend.ldap.using.theory-of-operation.multi-domain-failover">

            <title>Authentifizierung auf mehreren Domains und Ausfallsicherung</title>

            <para>
                <classname>Zend_Ldap</classname> an sich wird nicht versuchen, sich mit mehreren
                Servern zu verbinden. Allerdings ist <classname>Zend_Ldap</classname> auf dieses
                Szenario vorbereitet. Dazu können Sie einfach ein Array mit Optionen für mehrere
                Server durchlaufen und nacheinander versuchen, sich mit jedem Server zu verbinden.
                Wie oben beschrieben wird <code>bind()</code> automatisch jeden Benutzernamen
                normalisieren, also ist es egal, ob der Benutzer <code>abaker@foo.net</code> oder
                <code>W\bcarter</code> oder <code>cdavis</code> als Benutzernamen angibt -
                <code>bind()</code> wird fehlschlagen, wenn der Login nicht erfolgreich war.
            </para>

            <para>
                Das folgende Beispiel zeigt Authentifizierung auf mehreren Domains und eine
                Ausfallsicherung.

                <programlisting language="php"><![CDATA[
$acctname = 'W\\user2';
$password = 'pass2';

$multiOptions = array(
    'server1' => array(
        'host' => 's0.foo.net',
        'username' => 'CN=user1,DC=foo,DC=net',
        'password' => 'pass1',
        'bindRequiresDn' => true,
        'accountDomainName' => 'foo.net',
        'accountDomainNameShort' => 'FOO',
        'accountCanonicalForm' => 4, // ACCT_FORM_PRINCIPAL
        'baseDn' => 'OU=Sales,DC=foo,DC=net',
    ),
    'server2' => array(
        'host' => 'dc1.w.net',
        'useSsl' => true,
        'username' => 'user1@w.net',
        'password' => 'pass1',
        'accountDomainName' => 'w.net',
        'accountDomainNameShort' => 'W',
        'accountCanonicalForm' => 4, // ACCT_FORM_PRINCIPAL
        'baseDn' => 'CN=Users,DC=w,DC=net',
    ),
);

$ldap = new Zend_Ldap();

foreach ($multiOptions as $name => $options) {

    echo "Versuche, mit den Server-Optionen für '$name' zu verbinden\n";

    $ldap->setOptions($options);
    try {
        $ldap->bind($acctname, $password);
        $acctname = $ldap->getCanonicalAccountName($acctname);
        echo "AUSGEFÜHRT: $acctname angemeldet\n";
        return;
    } catch (Zend_Ldap_Exception $zle) {
        echo '  ' . $zle->getMessage() . "\n";
        if ($zle->getCode() === Zend_Ldap_Exception::LDAP_X_DOMAIN_MISMATCH) {
            continue;
        }
    }
}
]]></programlisting>

                Wenn die Bindung an einen Server aus irgendeinem Grund fehlschlägt, wird sie
                mit dem nächsten Server erneut versucht.
            </para>

            <para>
                Der Aufruf von <code>getCanonicalAccountName</code> gibt den normalisierten
                Account-Namen zurück, den die Anwendung vermutlich benutzen würde, um Daten - wie
                bspw. Einstellungen - damit zu assoziieren. Die Option
                <code>accountCanonicalForm = 4</code>, die in diesem Fall in den Optionen aller
                Server gesetzt ist, stellt sicher, dass die normalisierte Form in einem
                einheitlichen Format ist, egal welcher Server am Ende benutzt wurde.
            </para>

            <para>
                Die besondere Ausnahme <code>LDAP_X_DOMAIN_MISMATCH</code> tritt auf, wenn ein
                Account-Name angegeben wurde, der einen Domain-Teil beinhaltet (bspw.
                <code>abaker@foo.net</code> oder <code>FOO\abaker</code> und nicht nur
                <code>abaker</code>), aber dieser Domain-Teil mit keiner Domain in den aktuell
                ausgewählten Server-Optionen übereinstimmt. Diese Ausnahme zeigt an, dass der
                Server keine Autorität für diesen Account ist. In diesem Fall wird eine Bindung
                nicht ausgeführt, um unnötige Server-Anfragen zu vermeiden. Beachten Sie, dass
                die Anweisung <code>continue</code> in diesem Beispiel keine Auswirkung hat, aber
                Sie werden im praktischen Einsatz zur Fehlerbehandlung und aus Debugging-Gründen
                wahrscheinlich neben <code>LDAP_X_DOMAIN_MISMATCH</code> auch noch auf die
                Exception-Codes <code>LDAP_NO_SUCH_OBJECT</code> und
                <code>LDAP_INVALID_CREDENTIALS</code> prüfen wollen.
            </para>

            <para>
                Der obige Code ist dem sehr ähnlich, der in <link
                    linkend="zend.auth.adapter.ldap"><classname>Zend_Auth_Adapter_Ldap</classname></link>
                verwendet wird. Wir empfehlen daher, einfach den Authentifizierungs-Adapter
                für Multi-Domain-Authentifizierung und LDAP-basierte Authentifizierung mit
                Ausfallsicherung zu verwenden (oder kopieren Sie den Code oben).
            </para>

        </sect3>

    </sect2>

</sect1>
<!--
vim:se ts=4 sw=4 et:
-->