BookStack Code Mirror - bookstack/blob - app/Auth/Access/LdapService.php

   1 <?php namespace BookStack\Auth\Access;
   2
   3 use BookStack\Auth\Access;
   4 use BookStack\Auth\Role;
   5 use BookStack\Auth\User;
   6 use BookStack\Auth\UserRepo;
   7 use BookStack\Exceptions\LdapException;
   8 use Illuminate\Contracts\Auth\Authenticatable;
   9 use Illuminate\Database\Eloquent\Builder;
  10
  11 /**
  12  * Class LdapService
  13  * Handles any app-specific LDAP tasks.
  14  * @package BookStack\Services
  15  */
  16 class LdapService
  17 {
  18
  19     protected $ldap;
  20     protected $ldapConnection;
  21     protected $config;
  22     protected $userRepo;
  23     protected $enabled;
  24
  25     /**
  26      * LdapService constructor.
  27      * @param Ldap $ldap
  28      * @param \BookStack\Auth\UserRepo $userRepo
  29      */
  30     public function __construct(Access\Ldap $ldap, UserRepo $userRepo)
  31     {
  32         $this->ldap = $ldap;
  33         $this->config = config('services.ldap');
  34         $this->userRepo = $userRepo;
  35         $this->enabled = config('auth.method') === 'ldap';
  36     }
  37
  38     /**
  39      * Check if groups should be synced.
  40      * @return bool
  41      */
  42     public function shouldSyncGroups()
  43     {
  44         return $this->enabled && $this->config['user_to_groups'] !== false;
  45     }
  46
  47     /**
  48      * Search for attributes for a specific user on the ldap
  49      * @param string $userName
  50      * @param array $attributes
  51      * @return null|array
  52      * @throws LdapException
  53      */
  54     private function getUserWithAttributes($userName, $attributes)
  55     {
  56         $ldapConnection = $this->getConnection();
  57         $this->bindSystemUser($ldapConnection);
  58
  59         // Find user
  60         $userFilter = $this->buildFilter($this->config['user_filter'], ['user' => $userName]);
  61         $baseDn = $this->config['base_dn'];
  62
  63         $followReferrals = $this->config['follow_referrals'] ? 1 : 0;
  64         $this->ldap->setOption($ldapConnection, LDAP_OPT_REFERRALS, $followReferrals);
  65         $users = $this->ldap->searchAndGetEntries($ldapConnection, $baseDn, $userFilter, $attributes);
  66         if ($users['count'] === 0) {
  67             return null;
  68         }
  69
  70         return $users[0];
  71     }
  72
  73     /**
  74      * Get the details of a user from LDAP using the given username.
  75      * User found via configurable user filter.
  76      * @param $userName
  77      * @return array|null
  78      * @throws LdapException
  79      */
  80     public function getUserDetails($userName)
  81     {
  82         $emailAttr = $this->config['email_attribute'];
  83         $user = $this->getUserWithAttributes($userName, ['cn', 'uid', 'dn', $emailAttr]);
  84
  85         if ($user === null) {
  86             return null;
  87         }
  88
  89         return [
  90             'uid'   => (isset($user['uid'])) ? $user['uid'][0] : $user['dn'],
  91             'name'  => $user['cn'][0],
  92             'dn'    => $user['dn'],
  93             'email' => (isset($user[$emailAttr])) ? (is_array($user[$emailAttr]) ? $user[$emailAttr][0] : $user[$emailAttr]) : null
  94         ];
  95     }
  96
  97     /**
  98      * @param Authenticatable $user
  99      * @param string          $username
 100      * @param string          $password
 101      * @return bool
 102      * @throws LdapException
 103      */
 104     public function validateUserCredentials(Authenticatable $user, $username, $password)
 105     {
 106         $ldapUser = $this->getUserDetails($username);
 107         if ($ldapUser === null) {
 108             return false;
 109         }
 110         if ($ldapUser['uid'] !== $user->external_auth_id) {
 111             return false;
 112         }
 113
 114         $ldapConnection = $this->getConnection();
 115         try {
 116             $ldapBind = $this->ldap->bind($ldapConnection, $ldapUser['dn'], $password);
 117         } catch (\ErrorException $e) {
 118             $ldapBind = false;
 119         }
 120
 121         return $ldapBind;
 122     }
 123
 124     /**
 125      * Bind the system user to the LDAP connection using the given credentials
 126      * otherwise anonymous access is attempted.
 127      * @param $connection
 128      * @throws LdapException
 129      */
 130     protected function bindSystemUser($connection)
 131     {
 132         $ldapDn = $this->config['dn'];
 133         $ldapPass = $this->config['pass'];
 134
 135         $isAnonymous = ($ldapDn === false || $ldapPass === false);
 136         if ($isAnonymous) {
 137             $ldapBind = $this->ldap->bind($connection);
 138         } else {
 139             $ldapBind = $this->ldap->bind($connection, $ldapDn, $ldapPass);
 140         }
 141
 142         if (!$ldapBind) {
 143             throw new LdapException(($isAnonymous ? trans('errors.ldap_fail_anonymous') : trans('errors.ldap_fail_authed')));
 144         }
 145     }
 146
 147     /**
 148      * Get the connection to the LDAP server.
 149      * Creates a new connection if one does not exist.
 150      * @return resource
 151      * @throws LdapException
 152      */
 153     protected function getConnection()
 154     {
 155         if ($this->ldapConnection !== null) {
 156             return $this->ldapConnection;
 157         }
 158
 159         // Check LDAP extension in installed
 160         if (!function_exists('ldap_connect') && config('app.env') !== 'testing') {
 161             throw new LdapException(trans('errors.ldap_extension_not_installed'));
 162         }
 163
 164         // Get port from server string and protocol if specified.
 165         $ldapServer = explode(':', $this->config['server']);
 166         $hasProtocol = preg_match('/^ldaps{0,1}\:\/\//', $this->config['server']) === 1;
 167         if (!$hasProtocol) {
 168             array_unshift($ldapServer, '');
 169         }
 170         $hostName = $ldapServer[0] . ($hasProtocol?':':'') . $ldapServer[1];
 171         $defaultPort = $ldapServer[0] === 'ldaps' ? 636 : 389;
 172         $ldapConnection = $this->ldap->connect($hostName, count($ldapServer) > 2 ? intval($ldapServer[2]) : $defaultPort);
 173
 174         if ($ldapConnection === false) {
 175             throw new LdapException(trans('errors.ldap_cannot_connect'));
 176         }
 177
 178         // Set any required options
 179         if ($this->config['version']) {
 180             $this->ldap->setVersion($ldapConnection, $this->config['version']);
 181         }
 182
 183         $this->ldapConnection = $ldapConnection;
 184         return $this->ldapConnection;
 185     }
 186
 187     /**
 188      * Build a filter string by injecting common variables.
 189      * @param string $filterString
 190      * @param array $attrs
 191      * @return string
 192      */
 193     protected function buildFilter($filterString, array $attrs)
 194     {
 195         $newAttrs = [];
 196         foreach ($attrs as $key => $attrText) {
 197             $newKey = '${' . $key . '}';
 198             $newAttrs[$newKey] = $attrText;
 199         }
 200         return strtr($filterString, $newAttrs);
 201     }
 202
 203     /**
 204      * Get the groups a user is a part of on ldap
 205      * @param string $userName
 206      * @return array
 207      * @throws LdapException
 208      */
 209     public function getUserGroups($userName)
 210     {
 211         $groupsAttr = $this->config['group_attribute'];
 212         $user = $this->getUserWithAttributes($userName, [$groupsAttr]);
 213
 214         if ($user === null) {
 215             return [];
 216         }
 217
 218         $userGroups = $this->groupFilter($user);
 219         $userGroups = $this->getGroupsRecursive($userGroups, []);
 220         return $userGroups;
 221     }
 222
 223     /**
 224      * Get the parent groups of an array of groups
 225      * @param array $groupsArray
 226      * @param array $checked
 227      * @return array
 228      * @throws LdapException
 229      */
 230     private function getGroupsRecursive($groupsArray, $checked)
 231     {
 232         $groups_to_add = [];
 233         foreach ($groupsArray as $groupName) {
 234             if (in_array($groupName, $checked)) {
 235                 continue;
 236             }
 237
 238             $groupsToAdd = $this->getGroupGroups($groupName);
 239             $groups_to_add = array_merge($groups_to_add, $groupsToAdd);
 240             $checked[] = $groupName;
 241         }
 242         $groupsArray = array_unique(array_merge($groupsArray, $groups_to_add), SORT_REGULAR);
 243
 244         if (!empty($groups_to_add)) {
 245             return $this->getGroupsRecursive($groupsArray, $checked);
 246         } else {
 247             return $groupsArray;
 248         }
 249     }
 250
 251     /**
 252      * Get the parent groups of a single group
 253      * @param string $groupName
 254      * @return array
 255      * @throws LdapException
 256      */
 257     private function getGroupGroups($groupName)
 258     {
 259         $ldapConnection = $this->getConnection();
 260         $this->bindSystemUser($ldapConnection);
 261
 262         $followReferrals = $this->config['follow_referrals'] ? 1 : 0;
 263         $this->ldap->setOption($ldapConnection, LDAP_OPT_REFERRALS, $followReferrals);
 264
 265         $baseDn = $this->config['base_dn'];
 266         $groupsAttr = strtolower($this->config['group_attribute']);
 267
 268         $groups = $this->ldap->searchAndGetEntries($ldapConnection, $baseDn, 'CN='.$groupName, [$groupsAttr]);
 269         if ($groups['count'] === 0) {
 270             return [];
 271         }
 272
 273         $groupGroups = $this->groupFilter($groups[0]);
 274         return $groupGroups;
 275     }
 276
 277     /**
 278      * Filter out LDAP CN and DN language in a ldap search return
 279      * Gets the base CN (common name) of the string
 280      * @param string $ldapSearchReturn
 281      * @return array
 282      */
 283     protected function groupFilter($ldapSearchReturn)
 284     {
 285         $groupsAttr = strtolower($this->config['group_attribute']);
 286         $ldapGroups = [];
 287         $count = 0;
 288         if (isset($ldapSearchReturn[$groupsAttr]['count'])) {
 289             $count = (int) $ldapSearchReturn[$groupsAttr]['count'];
 290         }
 291         for ($i=0; $i<$count; $i++) {
 292             $dnComponents = ldap_explode_dn($ldapSearchReturn[$groupsAttr][$i], 1);
 293             if (!in_array($dnComponents[0], $ldapGroups)) {
 294                 $ldapGroups[] = $dnComponents[0];
 295             }
 296         }
 297         return $ldapGroups;
 298     }
 299
 300     /**
 301      * Sync the LDAP groups to the user roles for the current user
 302      * @param \BookStack\Auth\User $user
 303      * @param string $username
 304      * @throws LdapException
 305      */
 306     public function syncGroups(User $user, string $username)
 307     {
 308         $userLdapGroups = $this->getUserGroups($username);
 309
 310         // Get the ids for the roles from the names
 311         $ldapGroupsAsRoles = $this->matchLdapGroupsToSystemsRoles($userLdapGroups);
 312
 313         // Sync groups
 314         if ($this->config['remove_from_groups']) {
 315             $user->roles()->sync($ldapGroupsAsRoles);
 316             $this->userRepo->attachDefaultRole($user);
 317         } else {
 318             $user->roles()->syncWithoutDetaching($ldapGroupsAsRoles);
 319         }
 320     }
 321
 322     /**
 323      * Match an array of group names from LDAP to BookStack system roles.
 324      * Formats LDAP group names to be lower-case and hyphenated.
 325      * @param array $groupNames
 326      * @return \Illuminate\Support\Collection
 327      */
 328     protected function matchLdapGroupsToSystemsRoles(array $groupNames)
 329     {
 330         foreach ($groupNames as $i => $groupName) {
 331             $groupNames[$i] = str_replace(' ', '-', trim(strtolower($groupName)));
 332         }
 333
 334         $roles = Role::query()->where(function (Builder $query) use ($groupNames) {
 335             $query->whereIn('name', $groupNames);
 336             foreach ($groupNames as $groupName) {
 337                 $query->orWhere('external_auth_id', 'LIKE', '%' . $groupName . '%');
 338             }
 339         })->get();
 340
 341         $matchedRoles = $roles->filter(function (Role $role) use ($groupNames) {
 342             return $this->roleMatchesGroupNames($role, $groupNames);
 343         });
 344
 345         return $matchedRoles->pluck('id');
 346     }
 347
 348     /**
 349      * Check a role against an array of group names to see if it matches.
 350      * Checked against role 'external_auth_id' if set otherwise the name of the role.
 351      * @param \BookStack\Auth\Role $role
 352      * @param array $groupNames
 353      * @return bool
 354      */
 355     protected function roleMatchesGroupNames(Role $role, array $groupNames)
 356     {
 357         if ($role->external_auth_id) {
 358             $externalAuthIds = explode(',', strtolower($role->external_auth_id));
 359             foreach ($externalAuthIds as $externalAuthId) {
 360                 if (in_array(trim($externalAuthId), $groupNames)) {
 361                     return true;
 362                 }
 363             }
 364             return false;
 365         }
 366
 367         $roleName = str_replace(' ', '-', trim(strtolower($role->display_name)));
 368         return in_array($roleName, $groupNames);
 369     }
 370 }