Contrôle LDAP

Les contrôles sont des objets spéciaux qui peuvent être envoyés avec une requête LDAP pour modifier le comportement du serveur LDAP lors de l'exécution de la requête. Il peut également y avoir des contrôles envoyés par le serveur avec la réponse pour fournir plus d'informations, généralement pour répondre à un objet de contrôle de la requête.

Note:

Tous les contrôles ne sont pas supportés par tous les serveurs LDAP. Pour savoir quels contrôles sont supportés par un serveur, il faut interroger le DSE racine en lisant un dn vide avec le filtre (objectClass=*).

Exemple #1 Testing support for paged result control

<?php
// $ds est un identifiant de lien valide pour un serveur de répertoire
$result = ldap_read($ds, '', '(objectClass=*)', ['supportedControl']);
if (!in_array(LDAP_CONTROL_PAGEDRESULTS, ldap_get_entries($ds, $result)[0]['supportedcontrol'])) {
die("This server does not support paged result control");
}
?>

À partir de PHP 7.3, il est possible d'envoyer des contrôles avec la requête dans toutes les fonctions de requête en utilisant le paramètre controls. Lorsqu'une version étendue d'une fonction existe, il est recommandé de l'utiliser si on veut accéder à l'objet de réponse complet et être capable de parser les contrôles de réponse à partir de celui-ci en utilisant ldap_parse_result().

controls doit être un tableau contenant un tableau pour chaque contrôle à envoyer, contenant les clés suivantes :

oid (string)

L'OID du contrôle. Il est recommandé d'utiliser les constantes commençant par LDAP_CONTROL_ pour cela. Voir constantes de LDAP.

iscritical (bool)

Si un contrôle est marqué comme critique, la requête échouera si le contrôle n'est pas supporté par le serveur, ou s'il échoue à être appliqué. À noter que certains contrôles devraient toujours être marqués comme critiques comme noté dans le RFC les introduisant. Par défaut à false.

value (mixed)

Si applicable, la valeur du contrôle. Consulter ci-dessous pour plus d'informations.

La plupart des valeurs de contrôle sont envoyées au serveur en BER-encodé. Il est possible de soit BER-encoder la valeur soi-même, ou il est possible de plutôt passer un tableau avec les clés correctes pour que l'encodage soit fait automatiquement. Les contrôles supportés pour le passage en tant que tableau sont :

• LDAP_CONTROL_PAGEDRESULTS Les clés attendues sont [size] et [cookie]

• LDAP_CONTROL_ASSERT La clé attendue est filter

• LDAP_CONTROL_VALUESRETURNFILTER La clé attendue est filter

• LDAP_CONTROL_PRE_READ La clé attendue est attrs

• LDAP_CONTROL_POST_READ La clé attendue est attrs

• LDAP_CONTROL_SORTREQUEST Attend un tableau de tableaux avec les clés attr, [oid], [reverse].

• LDAP_CONTROL_VLVREQUEST Les clés attendues sont before, after, attrvalue|(offset, count), [context]

Les contrôles suivants n'ont pas besoin de valeur :

• LDAP_CONTROL_PASSWORDPOLICYREQUEST

• LDAP_CONTROL_MANAGEDSAIT

• LDAP_CONTROL_DONTUSECOPY

Le contrôle LDAP_CONTROL_PROXY_AUTHZ est un cas spécial car sa valeur n'est pas censée être BER-encodée, il est donc possible d'utiliser directement une chaîne pour sa valeur.

Lorsque les contrôles sont parsés par ldap_parse_result(), les valeurs sont transformées en tableau si supportées. Ceci est supporté pour :

• LDAP_CONTROL_PASSWORDPOLICYRESPONSE Les clés sont expire, grace, [error]

• LDAP_CONTROL_PAGEDRESULTS Les clés sont size, cookie

• LDAP_CONTROL_PRE_READ Les clés sont dn et les noms d'attributs LDAP

• LDAP_CONTROL_POST_READ Les clés sont dn et les noms d'attributs LDAP

• LDAP_CONTROL_SORTRESPONSE Les clés sont errcode, [attribute]

• LDAP_CONTROL_VLVRESPONSE Les clés sont target, count, errcode, context