BookStack Code Mirror - bookstack/blob - app/Auth/Access/LdapService.php

   1 <?php namespace BookStack\Auth\Access;
   2
   3 use BookStack\Auth\Access;
   4 use BookStack\Auth\Role;
   5 use BookStack\Auth\User;
   6 use BookStack\Auth\UserRepo;
   7 use BookStack\Exceptions\LdapException;
   8 use Illuminate\Contracts\Auth\Authenticatable;
   9 use Illuminate\Database\Eloquent\Builder;
  10
  11 /**
  12  * Class LdapService
  13  * Handles any app-specific LDAP tasks.
  14  * @package BookStack\Services
  15  */
  16 class LdapService
  17 {
  18
  19     protected $ldap;
  20     protected $ldapConnection;
  21     protected $config;
  22     protected $userRepo;
  23     protected $enabled;
  24
  25     /**
  26      * LdapService constructor.
  27      * @param Ldap $ldap
  28      * @param \BookStack\Auth\UserRepo $userRepo
  29      */
  30     public function __construct(Access\Ldap $ldap, UserRepo $userRepo)
  31     {
  32         $this->ldap = $ldap;
  33         $this->config = config('services.ldap');
  34         $this->userRepo = $userRepo;
  35         $this->enabled = config('auth.method') === 'ldap';
  36     }
  37
  38     /**
  39      * Check if groups should be synced.
  40      * @return bool
  41      */
  42     public function shouldSyncGroups()
  43     {
  44         return $this->enabled && $this->config['user_to_groups'] !== false;
  45     }
  46
  47     /**
  48      * Search for attributes for a specific user on the ldap
  49      * @param string $userName
  50      * @param array $attributes
  51      * @return null|array
  52      * @throws LdapException
  53      */
  54     private function getUserWithAttributes($userName, $attributes)
  55     {
  56         $ldapConnection = $this->getConnection();
  57         $this->bindSystemUser($ldapConnection);
  58
  59         // Find user
  60         $userFilter = $this->buildFilter($this->config['user_filter'], ['user' => $userName]);
  61         $baseDn = $this->config['base_dn'];
  62
  63         $followReferrals = $this->config['follow_referrals'] ? 1 : 0;
  64         $this->ldap->setOption($ldapConnection, LDAP_OPT_REFERRALS, $followReferrals);
  65         $users = $this->ldap->searchAndGetEntries($ldapConnection, $baseDn, $userFilter, $attributes);
  66         if ($users['count'] === 0) {
  67             return null;
  68         }
  69
  70         return $users[0];
  71     }
  72
  73     /**
  74      * Get the details of a user from LDAP using the given username.
  75      * User found via configurable user filter.
  76      * @param $userName
  77      * @return array|null
  78      * @throws LdapException
  79      */
  80     public function getUserDetails($userName)
  81     {
  82         $emailAttr = $this->config['email_attribute'];
  83         $user = $this->getUserWithAttributes($userName, ['cn', 'uid', 'dn', $emailAttr]);
  84
  85         if ($user === null) {
  86             return null;
  87         }
  88
  89         return [
  90             'uid'   => (isset($user['uid'])) ? $user['uid'][0] : $user['dn'],
  91             'name'  => $user['cn'][0],
  92             'dn'    => $user['dn'],
  93             'email' => (isset($user[$emailAttr])) ? (is_array($user[$emailAttr]) ? $user[$emailAttr][0] : $user[$emailAttr]) : null
  94         ];
  95     }
  96
  97     /**
  98      * @param Authenticatable $user
  99      * @param string          $username
 100      * @param string          $password
 101      * @return bool
 102      * @throws LdapException
 103      */
 104     public function validateUserCredentials(Authenticatable $user, $username, $password)
 105     {
 106         $ldapUser = $this->getUserDetails($username);
 107         if ($ldapUser === null) {
 108             return false;
 109         }
 110
 111         if ($ldapUser['uid'] !== $user->external_auth_id) {
 112             return false;
 113         }
 114
 115         $ldapConnection = $this->getConnection();
 116         try {
 117             $ldapBind = $this->ldap->bind($ldapConnection, $ldapUser['dn'], $password);
 118         } catch (\ErrorException $e) {
 119             $ldapBind = false;
 120         }
 121
 122         return $ldapBind;
 123     }
 124
 125     /**
 126      * Bind the system user to the LDAP connection using the given credentials
 127      * otherwise anonymous access is attempted.
 128      * @param $connection
 129      * @throws LdapException
 130      */
 131     protected function bindSystemUser($connection)
 132     {
 133         $ldapDn = $this->config['dn'];
 134         $ldapPass = $this->config['pass'];
 135
 136         $isAnonymous = ($ldapDn === false || $ldapPass === false);
 137         if ($isAnonymous) {
 138             $ldapBind = $this->ldap->bind($connection);
 139         } else {
 140             $ldapBind = $this->ldap->bind($connection, $ldapDn, $ldapPass);
 141         }
 142
 143         if (!$ldapBind) {
 144             throw new LdapException(($isAnonymous ? trans('errors.ldap_fail_anonymous') : trans('errors.ldap_fail_authed')));
 145         }
 146     }
 147
 148     /**
 149      * Get the connection to the LDAP server.
 150      * Creates a new connection if one does not exist.
 151      * @return resource
 152      * @throws LdapException
 153      */
 154     protected function getConnection()
 155     {
 156         if ($this->ldapConnection !== null) {
 157             return $this->ldapConnection;
 158         }
 159
 160         // Check LDAP extension in installed
 161         if (!function_exists('ldap_connect') && config('app.env') !== 'testing') {
 162             throw new LdapException(trans('errors.ldap_extension_not_installed'));
 163         }
 164
 165         // Get port from server string and protocol if specified.
 166         $ldapServer = explode(':', $this->config['server']);
 167         $hasProtocol = preg_match('/^ldaps{0,1}\:\/\//', $this->config['server']) === 1;
 168         if (!$hasProtocol) {
 169             array_unshift($ldapServer, '');
 170         }
 171         $hostName = $ldapServer[0] . ($hasProtocol?':':'') . $ldapServer[1];
 172         $defaultPort = $ldapServer[0] === 'ldaps' ? 636 : 389;
 173         $ldapConnection = $this->ldap->connect($hostName, count($ldapServer) > 2 ? intval($ldapServer[2]) : $defaultPort);
 174
 175         if ($ldapConnection === false) {
 176             throw new LdapException(trans('errors.ldap_cannot_connect'));
 177         }
 178
 179         // Set any required options
 180         if ($this->config['version']) {
 181             $this->ldap->setVersion($ldapConnection, $this->config['version']);
 182         }
 183
 184         $this->ldapConnection = $ldapConnection;
 185         return $this->ldapConnection;
 186     }
 187
 188     /**
 189      * Build a filter string by injecting common variables.
 190      * @param string $filterString
 191      * @param array $attrs
 192      * @return string
 193      */
 194     protected function buildFilter($filterString, array $attrs)
 195     {
 196         $newAttrs = [];
 197         foreach ($attrs as $key => $attrText) {
 198             $newKey = '${' . $key . '}';
 199             $newAttrs[$newKey] = $this->ldap->escape($attrText);
 200         }
 201         return strtr($filterString, $newAttrs);
 202     }
 203
 204     /**
 205      * Get the groups a user is a part of on ldap
 206      * @param string $userName
 207      * @return array
 208      * @throws LdapException
 209      */
 210     public function getUserGroups($userName)
 211     {
 212         $groupsAttr = $this->config['group_attribute'];
 213         $user = $this->getUserWithAttributes($userName, [$groupsAttr]);
 214
 215         if ($user === null) {
 216             return [];
 217         }
 218
 219         $userGroups = $this->groupFilter($user);
 220         $userGroups = $this->getGroupsRecursive($userGroups, []);
 221         return $userGroups;
 222     }
 223
 224     /**
 225      * Get the parent groups of an array of groups
 226      * @param array $groupsArray
 227      * @param array $checked
 228      * @return array
 229      * @throws LdapException
 230      */
 231     private function getGroupsRecursive($groupsArray, $checked)
 232     {
 233         $groups_to_add = [];
 234         foreach ($groupsArray as $groupName) {
 235             if (in_array($groupName, $checked)) {
 236                 continue;
 237             }
 238
 239             $groupsToAdd = $this->getGroupGroups($groupName);
 240             $groups_to_add = array_merge($groups_to_add, $groupsToAdd);
 241             $checked[] = $groupName;
 242         }
 243         $groupsArray = array_unique(array_merge($groupsArray, $groups_to_add), SORT_REGULAR);
 244
 245         if (!empty($groups_to_add)) {
 246             return $this->getGroupsRecursive($groupsArray, $checked);
 247         } else {
 248             return $groupsArray;
 249         }
 250     }
 251
 252     /**
 253      * Get the parent groups of a single group
 254      * @param string $groupName
 255      * @return array
 256      * @throws LdapException
 257      */
 258     private function getGroupGroups($groupName)
 259     {
 260         $ldapConnection = $this->getConnection();
 261         $this->bindSystemUser($ldapConnection);
 262
 263         $followReferrals = $this->config['follow_referrals'] ? 1 : 0;
 264         $this->ldap->setOption($ldapConnection, LDAP_OPT_REFERRALS, $followReferrals);
 265
 266         $baseDn = $this->config['base_dn'];
 267         $groupsAttr = strtolower($this->config['group_attribute']);
 268
 269         $groupFilter = 'CN=' . $this->ldap->escape($groupName);
 270         $groups = $this->ldap->searchAndGetEntries($ldapConnection, $baseDn, $groupFilter, [$groupsAttr]);
 271         if ($groups['count'] === 0) {
 272             return [];
 273         }
 274
 275         $groupGroups = $this->groupFilter($groups[0]);
 276         return $groupGroups;
 277     }
 278
 279     /**
 280      * Filter out LDAP CN and DN language in a ldap search return
 281      * Gets the base CN (common name) of the string
 282      * @param array $userGroupSearchResponse
 283      * @return array
 284      */
 285     protected function groupFilter(array $userGroupSearchResponse)
 286     {
 287         $groupsAttr = strtolower($this->config['group_attribute']);
 288         $ldapGroups = [];
 289         $count = 0;
 290
 291         if (isset($userGroupSearchResponse[$groupsAttr]['count'])) {
 292             $count = (int) $userGroupSearchResponse[$groupsAttr]['count'];
 293         }
 294
 295         for ($i=0; $i<$count; $i++) {
 296             $dnComponents = $this->ldap->explodeDn($userGroupSearchResponse[$groupsAttr][$i], 1);
 297             if (!in_array($dnComponents[0], $ldapGroups)) {
 298                 $ldapGroups[] = $dnComponents[0];
 299             }
 300         }
 301
 302         return $ldapGroups;
 303     }
 304
 305     /**
 306      * Sync the LDAP groups to the user roles for the current user
 307      * @param \BookStack\Auth\User $user
 308      * @param string $username
 309      * @throws LdapException
 310      */
 311     public function syncGroups(User $user, string $username)
 312     {
 313         $userLdapGroups = $this->getUserGroups($username);
 314
 315         // Get the ids for the roles from the names
 316         $ldapGroupsAsRoles = $this->matchLdapGroupsToSystemsRoles($userLdapGroups);
 317
 318         // Sync groups
 319         if ($this->config['remove_from_groups']) {
 320             $user->roles()->sync($ldapGroupsAsRoles);
 321             $this->userRepo->attachDefaultRole($user);
 322         } else {
 323             $user->roles()->syncWithoutDetaching($ldapGroupsAsRoles);
 324         }
 325     }
 326
 327     /**
 328      * Match an array of group names from LDAP to BookStack system roles.
 329      * Formats LDAP group names to be lower-case and hyphenated.
 330      * @param array $groupNames
 331      * @return \Illuminate\Support\Collection
 332      */
 333     protected function matchLdapGroupsToSystemsRoles(array $groupNames)
 334     {
 335         foreach ($groupNames as $i => $groupName) {
 336             $groupNames[$i] = str_replace(' ', '-', trim(strtolower($groupName)));
 337         }
 338
 339         $roles = Role::query()->where(function (Builder $query) use ($groupNames) {
 340             $query->whereIn('name', $groupNames);
 341             foreach ($groupNames as $groupName) {
 342                 $query->orWhere('external_auth_id', 'LIKE', '%' . $groupName . '%');
 343             }
 344         })->get();
 345
 346         $matchedRoles = $roles->filter(function (Role $role) use ($groupNames) {
 347             return $this->roleMatchesGroupNames($role, $groupNames);
 348         });
 349
 350         return $matchedRoles->pluck('id');
 351     }
 352
 353     /**
 354      * Check a role against an array of group names to see if it matches.
 355      * Checked against role 'external_auth_id' if set otherwise the name of the role.
 356      * @param \BookStack\Auth\Role $role
 357      * @param array $groupNames
 358      * @return bool
 359      */
 360     protected function roleMatchesGroupNames(Role $role, array $groupNames)
 361     {
 362         if ($role->external_auth_id) {
 363             $externalAuthIds = explode(',', strtolower($role->external_auth_id));
 364             foreach ($externalAuthIds as $externalAuthId) {
 365                 if (in_array(trim($externalAuthId), $groupNames)) {
 366                     return true;
 367                 }
 368             }
 369             return false;
 370         }
 371
 372         $roleName = str_replace(' ', '-', trim(strtolower($role->display_name)));
 373         return in_array($roleName, $groupNames);
 374     }
 375 }