选择 AD ntSecurityDescriptor 属性作为非管理员

Question

我正在为 Active Directory ACL/ACE 开发 SDDL/安全描述符解析器。我几乎完成了，当我使用管理帐户连接到 LDAP 时，一切正常。

但是，当我尝试将其ntSecurityDescriptor作为非管理帐户进行查询时，它不会返回任何值。用户帐户本身有权读取该属性。当我开始调查这个问题时，我遇到了以下 LDAP 服务器控件：

https://msdn.microsoft.com/en-us/library/cc223323.aspx

LDAP_SERVER_SD_FLAGS_OID 控件与 LDAP 搜索请求一起使用，以控制要检索的 Windows 安全描述符的部分。DC 仅返回安全描述符的指定部分。它还与 LDAP 添加和修改请求一起使用，以控制要修改的 Windows 安全描述符部分。DC 仅修改安全描述符的指定部分。

当将此控制发送到 DC 时，controlValue 字段设置为以下 ASN.1 结构的 BER 编码。

 SDFlagsRequestValue ::= SEQUENCE {
     Flags    INTEGER
 }

标志值具有以下以大端字节顺序表示的格式。X 表示未使用的位，客户端应将其设置为 0，并且服务器必须忽略该位。

指定未设置位或不使用 LDAP_SERVER_SD_FLAGS_OID 控件的 Flags 相当于将 Flags 设置为 (OWNER_SECURITY_INFORMATION | GROUP_SECURITY_INFORMATION | DACL_SECURITY_INFORMATION | SACL_SECURITY_INFORMATION)。将此控制发送到 DC 不会导致服务器在其响应中包含任何控制。

文档中该声明的最后部分似乎不正确，至少在非管理用户的上下文中不正确。

我的问题：我应该如何使用标准 PHP LDAP 库函数将此控件发送到 LDAP？我知道我必须设置服务器控件，但我不确定如何对值进行编码。我已将范围缩小到最简单的示例：

$user = 'user@example.local';
$pass = 'secret';
$server = 'dc1.example.local';

$ldap = ldap_connect($server);
ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION, 3);
ldap_set_option($ldap, LDAP_OPT_REFERRALS, 0);

ldap_bind($ldap, $user, $pass);
$ctrl1 = array(
    "oid" => "1.2.840.113556.1.4.801",
    "iscritical" => true,
    // How should this value be set???
    "value" => sprintf("%c%c%c%c%c", 48, 3, 2, 1, 15)
);
if (!ldap_set_option($ldap, LDAP_OPT_SERVER_CONTROLS, array($ctrl1))) {
    echo "Failed to set server controls";
}

$searchUser = "user";
$dn = "dc=example,dc=local";
$filter="(sAMAccountName=$searchUser)";
$attr = array("ntsecuritydescriptor");

$sr = ldap_search($ldap, $dn, $filter, $attr);
$info = ldap_get_entries($ldap, $sr);

// Should contain ntSecurityDescriptor...but it does not.
var_dump($info);

我知道控件的值需要进行 BER 编码，但我不确定如何实现文档中定义的值。我找到了以下 Java 示例：

https://github.com/Tirasa/ADSDDL/blob/master/src/main/java/net/tirasa/adsddl/ntsd/controls/SDFlagsControl.java

但我一直无法将那里发生的事情翻译成 PHP。有任何想法吗？

Answer 1

问题似乎是非特权 AD 用户帐户将无权访问安全描述符的 SACL。要解决此问题并仍然检索ntSecurityDescriptor（减去 SACL），请发送具有所有其他标志集的值（值为 7）的控件：

// OWNER_SECURITY_INFORMATION + GROUP_SECURITY_INFORMATION + DACL_SECURITY_INFORMATION
$sdFlags = 7;

$ctrl1 = array(
    "oid" => "1.2.840.113556.1.4.801",
    "iscritical" => true,
    "value" => sprintf("%c%c%c%c%c", 48, 3, 2, 1, $sdFlags)
);
if (!ldap_set_option($ldap, LDAP_OPT_SERVER_CONTROLS, array($ctrl1))) {
    echo "Failed to set server controls";
}

我的猜测是 MS 文档没有错，默认值是LDAP_SERVER_SD_FLAGS_OID设置所有标志（包括 SACL）。由于大多数普通帐户无权访问该 SACL，因此 AD 可能决定不返回安全描述符的任何部分，因此ntSecurityDescriptor即使您选择查询，也不会从查询返回任何值。

另一个重要的注意事项是，如果您使用 LDAP 分页，它似乎会干扰此控制。您不能同时使用分页和此控件。我不确定这是否是该控件的一般副作用，或者是 PHP 的 LDAP 模块中服务器控件如何完成的问题。