BookStack Code Mirror - bookstack/blob - app/Auth/Access/LdapService.php

   1 <?php namespace BookStack\Auth\Access;
   2
   3 use BookStack\Auth\Access;
   4 use BookStack\Auth\Role;
   5 use BookStack\Auth\User;
   6 use BookStack\Auth\UserRepo;
   7 use BookStack\Exceptions\LdapException;
   8 use Illuminate\Contracts\Auth\Authenticatable;
   9 use Illuminate\Database\Eloquent\Builder;
  10
  11 /**
  12  * Class LdapService
  13  * Handles any app-specific LDAP tasks.
  14  * @package BookStack\Services
  15  */
  16 class LdapService
  17 {
  18
  19     protected $ldap;
  20     protected $ldapConnection;
  21     protected $config;
  22     protected $userRepo;
  23     protected $enabled;
  24
  25     /**
  26      * LdapService constructor.
  27      * @param Ldap $ldap
  28      * @param \BookStack\Auth\UserRepo $userRepo
  29      */
  30     public function __construct(Access\Ldap $ldap, UserRepo $userRepo)
  31     {
  32         $this->ldap = $ldap;
  33         $this->config = config('services.ldap');
  34         $this->userRepo = $userRepo;
  35         $this->enabled = config('auth.method') === 'ldap';
  36     }
  37
  38     /**
  39      * Check if groups should be synced.
  40      * @return bool
  41      */
  42     public function shouldSyncGroups()
  43     {
  44         return $this->enabled && $this->config['user_to_groups'] !== false;
  45     }
  46
  47     /**
  48      * Search for attributes for a specific user on the ldap
  49      * @param string $userName
  50      * @param array $attributes
  51      * @return null|array
  52      * @throws LdapException
  53      */
  54     private function getUserWithAttributes($userName, $attributes)
  55     {
  56         $ldapConnection = $this->getConnection();
  57         $this->bindSystemUser($ldapConnection);
  58
  59         // Find user
  60         $userFilter = $this->buildFilter($this->config['user_filter'], ['user' => $userName]);
  61         $baseDn = $this->config['base_dn'];
  62
  63         $followReferrals = $this->config['follow_referrals'] ? 1 : 0;
  64         $this->ldap->setOption($ldapConnection, LDAP_OPT_REFERRALS, $followReferrals);
  65         $users = $this->ldap->searchAndGetEntries($ldapConnection, $baseDn, $userFilter, $attributes);
  66         if ($users['count'] === 0) {
  67             return null;
  68         }
  69
  70         return $users[0];
  71     }
  72
  73     /**
  74      * Get the details of a user from LDAP using the given username.
  75      * User found via configurable user filter.
  76      * @param $userName
  77      * @return array|null
  78      * @throws LdapException
  79      */
  80     public function getUserDetails($userName)
  81     {
  82         $emailAttr = $this->config['email_attribute'];
  83         $user = $this->getUserWithAttributes($userName, ['cn', 'uid', 'dn', $emailAttr]);
  84
  85         if ($user === null) {
  86             return null;
  87         }
  88
  89         return [
  90             'uid'   => (isset($user['uid'])) ? $user['uid'][0] : $user['dn'],
  91             'name'  => $user['cn'][0],
  92             'dn'    => $user['dn'],
  93             'email' => (isset($user[$emailAttr])) ? (is_array($user[$emailAttr]) ? $user[$emailAttr][0] : $user[$emailAttr]) : null
  94         ];
  95     }
  96
  97     /**
  98      * @param Authenticatable $user
  99      * @param string          $username
 100      * @param string          $password
 101      * @return bool
 102      * @throws LdapException
 103      */
 104     public function validateUserCredentials(Authenticatable $user, $username, $password)
 105     {
 106         $ldapUser = $this->getUserDetails($username);
 107         if ($ldapUser === null) {
 108             return false;
 109         }
 110         if ($ldapUser['uid'] !== $user->external_auth_id) {
 111             return false;
 112         }
 113
 114         $ldapConnection = $this->getConnection();
 115         try {
 116             $ldapBind = $this->ldap->bind($ldapConnection, $ldapUser['dn'], $password);
 117         } catch (\ErrorException $e) {
 118             $ldapBind = false;
 119         }
 120
 121         return $ldapBind;
 122     }
 123
 124     /**
 125      * Bind the system user to the LDAP connection using the given credentials
 126      * otherwise anonymous access is attempted.
 127      * @param $connection
 128      * @throws LdapException
 129      */
 130     protected function bindSystemUser($connection)
 131     {
 132         $ldapDn = $this->config['dn'];
 133         $ldapPass = $this->config['pass'];
 134
 135         $isAnonymous = ($ldapDn === false || $ldapPass === false);
 136         if ($isAnonymous) {
 137             $ldapBind = $this->ldap->bind($connection);
 138         } else {
 139             $ldapBind = $this->ldap->bind($connection, $ldapDn, $ldapPass);
 140         }
 141
 142         if (!$ldapBind) {
 143             throw new LdapException(($isAnonymous ? trans('errors.ldap_fail_anonymous') : trans('errors.ldap_fail_authed')));
 144         }
 145     }
 146
 147     /**
 148      * Get the connection to the LDAP server.
 149      * Creates a new connection if one does not exist.
 150      * @return resource
 151      * @throws LdapException
 152      */
 153     protected function getConnection()
 154     {
 155         if ($this->ldapConnection !== null) {
 156             return $this->ldapConnection;
 157         }
 158
 159         // Check LDAP extension in installed
 160         if (!function_exists('ldap_connect') && config('app.env') !== 'testing') {
 161             throw new LdapException(trans('errors.ldap_extension_not_installed'));
 162         }
 163
 164         // Get port from server string and protocol if specified.
 165         $ldapServer = explode(':', $this->config['server']);
 166         $hasProtocol = preg_match('/^ldaps{0,1}\:\/\//', $this->config['server']) === 1;
 167         if (!$hasProtocol) {
 168             array_unshift($ldapServer, '');
 169         }
 170         $hostName = $ldapServer[0] . ($hasProtocol?':':'') . $ldapServer[1];
 171         $defaultPort = $ldapServer[0] === 'ldaps' ? 636 : 389;
 172
 173         $ldapConnection = $this->ldap->connect($hostName, count($ldapServer) > 2 ? intval($ldapServer[2]) : $defaultPort);
 174
 175         // Check if TLS_INSECURE is set
 176         if($this->config['tls_insecure']) {
 177             $this->ldap->setOption($ldapConnection, LDAP_OPT_X_TLS_REQUIRE_CERT, LDAP_OPT_X_TLS_NEVER);
 178         }
 179
 180         if ($ldapConnection === false) {
 181             throw new LdapException(trans('errors.ldap_cannot_connect'));
 182         }
 183
 184         // Set any required options
 185         if ($this->config['version']) {
 186             $this->ldap->setVersion($ldapConnection, $this->config['version']);
 187         }
 188
 189         $this->ldapConnection = $ldapConnection;
 190         return $this->ldapConnection;
 191     }
 192
 193     /**
 194      * Build a filter string by injecting common variables.
 195      * @param string $filterString
 196      * @param array $attrs
 197      * @return string
 198      */
 199     protected function buildFilter($filterString, array $attrs)
 200     {
 201         $newAttrs = [];
 202         foreach ($attrs as $key => $attrText) {
 203             $newKey = '${' . $key . '}';
 204             $newAttrs[$newKey] = $attrText;
 205         }
 206         return strtr($filterString, $newAttrs);
 207     }
 208
 209     /**
 210      * Get the groups a user is a part of on ldap
 211      * @param string $userName
 212      * @return array
 213      * @throws LdapException
 214      */
 215     public function getUserGroups($userName)
 216     {
 217         $groupsAttr = $this->config['group_attribute'];
 218         $user = $this->getUserWithAttributes($userName, [$groupsAttr]);
 219
 220         if ($user === null) {
 221             return [];
 222         }
 223
 224         $userGroups = $this->groupFilter($user);
 225         $userGroups = $this->getGroupsRecursive($userGroups, []);
 226         return $userGroups;
 227     }
 228
 229     /**
 230      * Get the parent groups of an array of groups
 231      * @param array $groupsArray
 232      * @param array $checked
 233      * @return array
 234      * @throws LdapException
 235      */
 236     private function getGroupsRecursive($groupsArray, $checked)
 237     {
 238         $groups_to_add = [];
 239         foreach ($groupsArray as $groupName) {
 240             if (in_array($groupName, $checked)) {
 241                 continue;
 242             }
 243
 244             $groupsToAdd = $this->getGroupGroups($groupName);
 245             $groups_to_add = array_merge($groups_to_add, $groupsToAdd);
 246             $checked[] = $groupName;
 247         }
 248         $groupsArray = array_unique(array_merge($groupsArray, $groups_to_add), SORT_REGULAR);
 249
 250         if (!empty($groups_to_add)) {
 251             return $this->getGroupsRecursive($groupsArray, $checked);
 252         } else {
 253             return $groupsArray;
 254         }
 255     }
 256
 257     /**
 258      * Get the parent groups of a single group
 259      * @param string $groupName
 260      * @return array
 261      * @throws LdapException
 262      */
 263     private function getGroupGroups($groupName)
 264     {
 265         $ldapConnection = $this->getConnection();
 266         $this->bindSystemUser($ldapConnection);
 267
 268         $followReferrals = $this->config['follow_referrals'] ? 1 : 0;
 269         $this->ldap->setOption($ldapConnection, LDAP_OPT_REFERRALS, $followReferrals);
 270
 271         $baseDn = $this->config['base_dn'];
 272         $groupsAttr = strtolower($this->config['group_attribute']);
 273
 274         $groups = $this->ldap->searchAndGetEntries($ldapConnection, $baseDn, 'CN='.$groupName, [$groupsAttr]);
 275         if ($groups['count'] === 0) {
 276             return [];
 277         }
 278
 279         $groupGroups = $this->groupFilter($groups[0]);
 280         return $groupGroups;
 281     }
 282
 283     /**
 284      * Filter out LDAP CN and DN language in a ldap search return
 285      * Gets the base CN (common name) of the string
 286      * @param string $ldapSearchReturn
 287      * @return array
 288      */
 289     protected function groupFilter($ldapSearchReturn)
 290     {
 291         $groupsAttr = strtolower($this->config['group_attribute']);
 292         $ldapGroups = [];
 293         $count = 0;
 294         if (isset($ldapSearchReturn[$groupsAttr]['count'])) {
 295             $count = (int) $ldapSearchReturn[$groupsAttr]['count'];
 296         }
 297         for ($i=0; $i<$count; $i++) {
 298             $dnComponents = ldap_explode_dn($ldapSearchReturn[$groupsAttr][$i], 1);
 299             if (!in_array($dnComponents[0], $ldapGroups)) {
 300                 $ldapGroups[] = $dnComponents[0];
 301             }
 302         }
 303         return $ldapGroups;
 304     }
 305
 306     /**
 307      * Sync the LDAP groups to the user roles for the current user
 308      * @param \BookStack\Auth\User $user
 309      * @param string $username
 310      * @throws LdapException
 311      */
 312     public function syncGroups(User $user, string $username)
 313     {
 314         $userLdapGroups = $this->getUserGroups($username);
 315
 316         // Get the ids for the roles from the names
 317         $ldapGroupsAsRoles = $this->matchLdapGroupsToSystemsRoles($userLdapGroups);
 318
 319         // Sync groups
 320         if ($this->config['remove_from_groups']) {
 321             $user->roles()->sync($ldapGroupsAsRoles);
 322             $this->userRepo->attachDefaultRole($user);
 323         } else {
 324             $user->roles()->syncWithoutDetaching($ldapGroupsAsRoles);
 325         }
 326     }
 327
 328     /**
 329      * Match an array of group names from LDAP to BookStack system roles.
 330      * Formats LDAP group names to be lower-case and hyphenated.
 331      * @param array $groupNames
 332      * @return \Illuminate\Support\Collection
 333      */
 334     protected function matchLdapGroupsToSystemsRoles(array $groupNames)
 335     {
 336         foreach ($groupNames as $i => $groupName) {
 337             $groupNames[$i] = str_replace(' ', '-', trim(strtolower($groupName)));
 338         }
 339
 340         $roles = Role::query()->where(function (Builder $query) use ($groupNames) {
 341             $query->whereIn('name', $groupNames);
 342             foreach ($groupNames as $groupName) {
 343                 $query->orWhere('external_auth_id', 'LIKE', '%' . $groupName . '%');
 344             }
 345         })->get();
 346
 347         $matchedRoles = $roles->filter(function (Role $role) use ($groupNames) {
 348             return $this->roleMatchesGroupNames($role, $groupNames);
 349         });
 350
 351         return $matchedRoles->pluck('id');
 352     }
 353
 354     /**
 355      * Check a role against an array of group names to see if it matches.
 356      * Checked against role 'external_auth_id' if set otherwise the name of the role.
 357      * @param \BookStack\Auth\Role $role
 358      * @param array $groupNames
 359      * @return bool
 360      */
 361     protected function roleMatchesGroupNames(Role $role, array $groupNames)
 362     {
 363         if ($role->external_auth_id) {
 364             $externalAuthIds = explode(',', strtolower($role->external_auth_id));
 365             foreach ($externalAuthIds as $externalAuthId) {
 366                 if (in_array(trim($externalAuthId), $groupNames)) {
 367                     return true;
 368                 }
 369             }
 370             return false;
 371         }
 372
 373         $roleName = str_replace(' ', '-', trim(strtolower($role->display_name)));
 374         return in_array($roleName, $groupNames);
 375     }
 376 }