lib/Catalyst/Authentication/Store/LDAP/Backend.pm

   1
   2 =pod
   3
   4 =head1 NAME
   5
   6 Catalyst::Authentication::Store::LDAP::Backend
   7   - LDAP authentication storage backend.
   8
   9 =head1 SYNOPSIS
  10
  11     # you probably just want Store::LDAP under most cases,
  12     # but if you insist you can instantiate your own store:
  13
  14     use Catalyst::Authentication::Store::LDAP::Backend;
  15
  16     use Catalyst qw/
  17         Authentication
  18         Authentication::Credential::Password
  19     /;
  20
  21     my %config = (
  22             'ldap_server' => 'ldap1.yourcompany.com',
  23             'ldap_server_options' => {
  24                 'timeout' => 30,
  25             },
  26             'binddn' => 'anonymous',
  27             'bindpw' => 'dontcarehow',
  28             'start_tls' => 1,
  29             'start_tls_options' => {
  30                 'verify' => 'none',
  31             },
  32             'user_basedn' => 'ou=people,dc=yourcompany,dc=com',
  33             'user_filter' => '(&(objectClass=posixAccount)(uid=%s))',
  34             'user_scope' => 'one',
  35             'user_field' => 'uid',
  36             'user_search_options' => {
  37                 'deref' => 'always',
  38             },
  39             'user_results_filter' => sub { return shift->pop_entry },
  40             'entry_class' => 'MyApp::LDAP::Entry',
  41             'user_class' => 'MyUser',
  42             'use_roles' => 1,
  43             'role_basedn' => 'ou=groups,dc=yourcompany,dc=com',
  44             'role_filter' => '(&(objectClass=posixGroup)(member=%s))',
  45             'role_scope' => 'one',
  46             'role_field' => 'cn',
  47             'role_value' => 'dn',
  48             'role_search_options' => {
  49                 'deref' => 'always',
  50             },
  51             'role_search_as_user' => 0,
  52     );
  53
  54     our $users = Catalyst::Authentication::Store::LDAP::Backend->new(\%config);
  55
  56 =head1 DESCRIPTION
  57
  58 You probably want L<Catalyst::Authentication::Store::LDAP>.
  59
  60 Otherwise, this lets you create a store manually.
  61
  62 See the L<Catalyst::Authentication::Store::LDAP> documentation for
  63 an explanation of the configuration options.
  64
  65 =head1 METHODS
  66
  67 =cut
  68
  69 package Catalyst::Authentication::Store::LDAP::Backend;
  70 use base qw( Class::Accessor::Fast );
  71
  72 use strict;
  73 use warnings;
  74 use Scalar::Util qw/refaddr/;
  75
  76 our $VERSION = '1.011';
  77
  78 use Catalyst::Authentication::Store::LDAP::User;
  79 use Net::LDAP;
  80 use Catalyst::Utils ();
  81
  82 BEGIN {
  83     __PACKAGE__->mk_accessors(
  84         qw( ldap_server ldap_server_options binddn
  85             bindpw entry_class user_search_options
  86             user_filter user_basedn user_scope
  87             user_attrs user_field use_roles role_basedn
  88             role_filter role_scope role_field role_value
  89             role_search_options start_tls start_tls_options
  90             user_results_filter user_class role_search_as_user
  91             )
  92     );
  93 }
  94
  95 =head2 new($config)
  96
  97 Creates a new L<Catalyst::Authentication::Store::LDAP::Backend> object.
  98 $config should be a hashref, which should contain the configuration options
  99 listed in L<Catalyst::Authentication::Store::LDAP>'s documentation.
 100
 101 Also sets a few sensible defaults.
 102
 103 =cut
 104
 105 sub new {
 106     my ( $class, $config ) = @_;
 107
 108     unless ( defined($config) && ref($config) eq "HASH" ) {
 109         Catalyst::Exception->throw(
 110             "Catalyst::Authentication::Store::LDAP::Backend needs to be configured with a hashref."
 111         );
 112     }
 113     my %config_hash = %{$config};
 114     $config_hash{'binddn'}      ||= 'anonymous';
 115     $config_hash{'user_filter'} ||= '(uid=%s)';
 116     $config_hash{'user_scope'}  ||= 'sub';
 117     $config_hash{'user_field'}  ||= 'uid';
 118     $config_hash{'role_filter'} ||= '(memberUid=%s)';
 119     $config_hash{'role_scope'}  ||= 'sub';
 120     $config_hash{'role_field'}  ||= 'cn';
 121     $config_hash{'use_roles'}   ||= '1';
 122     $config_hash{'start_tls'}   ||= '0';
 123     $config_hash{'entry_class'} ||= 'Catalyst::Model::LDAP::Entry';
 124     $config_hash{'user_class'}  ||= 'Catalyst::Authentication::Store::LDAP::User';
 125     $config_hash{'role_search_as_user'} ||= 0;
 126
 127     Catalyst::Utils::ensure_class_loaded($config_hash{'user_class'});
 128     my $self = \%config_hash;
 129     bless( $self, $class );
 130     return $self;
 131 }
 132
 133 =head2 find_user( I<authinfo>, $c )
 134
 135 Creates a L<Catalyst::Authentication::Store::LDAP::User> object
 136 for the given User ID.  This is the preferred mechanism for getting a
 137 given User out of the Store.
 138
 139 I<authinfo> should be a hashref with a key of either C<id> or
 140 C<username>. The value will be compared against the LDAP C<user_field> field.
 141
 142 =cut
 143
 144 sub find_user {
 145     my ( $self, $authinfo, $c ) = @_;
 146     return $self->get_user( $authinfo->{id} || $authinfo->{username}, $c );
 147 }
 148
 149 =head2 get_user( I<id>, $c)
 150
 151 Creates a L<Catalyst::Authentication::Store::LDAP::User> object
 152 for the given User ID, or calls C<new> on the class specified in
 153 C<user_class>.  This instance of the store object, the results of
 154 C<lookup_user> and $c are passed as arguments (in that order) to C<new>.
 155 This is the preferred mechanism for getting a given User out of the Store.
 156
 157 =cut
 158
 159 sub get_user {
 160     my ( $self, $id, $c ) = @_;
 161     my $user = $self->user_class->new( $self,
 162         $self->lookup_user($id), $c );
 163     return $user;
 164 }
 165
 166 =head2 ldap_connect
 167
 168 Returns a L<Net::LDAP> object, connected to your LDAP server. (According
 169 to how you configured the Backend, of course)
 170
 171 =cut
 172
 173 sub ldap_connect {
 174     my ($self) = shift;
 175     my $ldap;
 176     if ( defined( $self->ldap_server_options() ) ) {
 177         $ldap
 178             = Net::LDAP->new( $self->ldap_server,
 179             %{ $self->ldap_server_options } )
 180             or Catalyst::Exception->throw($@);
 181     }
 182     else {
 183         $ldap = Net::LDAP->new( $self->ldap_server )
 184             or Catalyst::Exception->throw($@);
 185     }
 186     if ( defined( $self->start_tls ) && $self->start_tls =~ /(1|true)/i ) {
 187         my $mesg;
 188         if ( defined( $self->start_tls_options ) ) {
 189             $mesg = $ldap->start_tls( %{ $self->start_tls_options } );
 190         }
 191         else {
 192             $mesg = $ldap->start_tls;
 193         }
 194         if ( $mesg->is_error ) {
 195             Catalyst::Exception->throw( "TLS Error: " . $mesg->error );
 196         }
 197     }
 198     return $ldap;
 199 }
 200
 201 =head2 ldap_bind($ldap, $binddn, $bindpw)
 202
 203 Bind's to the directory.  If $ldap is undef, it will connect to the
 204 LDAP server first.  $binddn should be the DN of the object you wish
 205 to bind as, and $bindpw the password.
 206
 207 If $binddn is "anonymous", an anonymous bind will be performed.
 208
 209 =cut
 210
 211 sub ldap_bind {
 212     my ( $self, $ldap, $binddn, $bindpw, $forauth ) = @_;
 213     $forauth ||= 0;
 214     $ldap    ||= $self->ldap_connect;
 215     if ( !defined($ldap) ) {
 216         Catalyst::Exception->throw("LDAP Server undefined!");
 217     }
 218     $binddn ||= $self->binddn;
 219     $bindpw ||= $self->bindpw;
 220     if ( $binddn eq "anonymous" ) {
 221         $self->_ldap_bind_anon($ldap);
 222     }
 223     else {
 224         if ($bindpw) {
 225             my $mesg = $ldap->bind( $binddn, 'password' => $bindpw );
 226             if ( $mesg->is_error ) {
 227
 228                 # If we're not checking this bind for authentication purposes
 229                 # Go ahead an blow up if we fail.
 230                 if ( $forauth ne 'forauth' ) {
 231                     Catalyst::Exception->throw(
 232                         "Error on Initial Bind: " . $mesg->error );
 233                 }
 234                 else {
 235                     return undef;
 236                 }
 237             }
 238         }
 239         else {
 240             $self->_ldap_bind_anon($ldap, $binddn);
 241         }
 242     }
 243     return $ldap;
 244 }
 245
 246 sub _ldap_bind_anon {
 247     my ($self, $ldap, $dn) = @_;
 248     my $mesg = $ldap->bind($dn);
 249     if ( $mesg->is_error ) {
 250         Catalyst::Exception->throw( "Error on Bind: " . $mesg->error );
 251     }
 252 }
 253
 254 =head2 lookup_user($id)
 255
 256 Given a User ID, this method will:
 257
 258   A) Bind to the directory using the configured binddn and bindpw
 259   B) Perform a search for the User Object in the directory, using
 260      user_basedn, user_filter, and user_scope.
 261   C) Assuming we found the object, we will walk it's attributes
 262      using L<Net::LDAP::Entry>'s get_value method.  We store the
 263      results in a hashref. If we do not find the object, then
 264      undef is returned.
 265   D) Return a hashref that looks like:
 266
 267      $results = {
 268         'ldap_entry' => $entry, # The Net::LDAP::Entry object
 269         'attributes' => $attributes,
 270      }
 271
 272 This method is usually only called by find_user().
 273
 274 =cut
 275
 276 sub lookup_user {
 277     my ( $self, $id ) = @_;
 278
 279     # No sneaking in wildcards!
 280     if ( $id =~ /\*/ ) {
 281         Catalyst::Exception->throw("ID $id contains wildcards!");
 282     }
 283     # Trim trailing space or we confuse ourselves
 284     $id =~ s/\s+$//;
 285     my $ldap = $self->ldap_bind;
 286     my @searchopts;
 287     if ( defined( $self->user_basedn ) ) {
 288         push( @searchopts, 'base' => $self->user_basedn );
 289     }
 290     else {
 291         Catalyst::Exception->throw(
 292             "You must set user_basedn before looking up users!");
 293     }
 294     my $filter = $self->_replace_filter( $self->user_filter, $id );
 295     push( @searchopts, 'filter' => $filter );
 296     push( @searchopts, 'scope'  => $self->user_scope );
 297     if ( defined( $self->user_search_options ) ) {
 298         push( @searchopts, %{ $self->user_search_options } );
 299     }
 300     my $usersearch = $ldap->search(@searchopts);
 301
 302     return undef if ( $usersearch->is_error );
 303
 304     my $userentry;
 305     my $user_field     = $self->user_field;
 306     my $results_filter = $self->user_results_filter;
 307     my $entry;
 308     if ( defined($results_filter) ) {
 309         $entry = &$results_filter($usersearch);
 310     }
 311     else {
 312         $entry = $usersearch->pop_entry;
 313     }
 314     if ( $usersearch->pop_entry ) {
 315         Catalyst::Exception->throw(
 316                   "More than one entry matches user search.\n"
 317                 . "Consider defining a user_results_filter sub." );
 318     }
 319
 320     # a little extra sanity check with the 'eq' since LDAP already
 321     # says it matches.
 322     # NOTE that Net::LDAP returns exactly what you asked for, but
 323     # because LDAP is often case insensitive, FoO can match foo
 324     # and so we normalize with lc().
 325     if ( defined($entry) ) {
 326         unless ( lc( $entry->get_value($user_field) ) eq lc($id) ) {
 327             Catalyst::Exception->throw(
 328                 "LDAP claims '$user_field' equals '$id' but results entry does not match."
 329             );
 330         }
 331         $userentry = $entry;
 332     }
 333
 334     $ldap->unbind;
 335     $ldap->disconnect;
 336     unless ($userentry) {
 337         return undef;
 338     }
 339     my $attrhash;
 340     foreach my $attr ( $userentry->attributes ) {
 341         my @attrvalues = $userentry->get_value($attr);
 342         if ( scalar(@attrvalues) == 1 ) {
 343             $attrhash->{ lc($attr) } = $attrvalues[0];
 344         }
 345         else {
 346             $attrhash->{ lc($attr) } = \@attrvalues;
 347         }
 348     }
 349
 350     eval { Catalyst::Utils::ensure_class_loaded($self->entry_class) };
 351     if ( !$@ ) {
 352         bless( $userentry, $self->entry_class );
 353         $userentry->{_use_unicode}++;
 354     }
 355     my $rv = {
 356         'ldap_entry' => $userentry,
 357         'attributes' => $attrhash,
 358     };
 359     return $rv;
 360 }
 361
 362 =head2 lookup_roles($userobj, [$ldap])
 363
 364 This method looks up the roles for a given user.  It takes a
 365 L<Catalyst::Authentication::Store::LDAP::User> object
 366 as it's first argument, and can optionally take a I<Net::LDAP> object which
 367 is used rather than the default binding if supplied.
 368
 369 It returns an array containing the role_field attribute from all the
 370 objects that match it's criteria.
 371
 372 =cut
 373
 374 sub lookup_roles {
 375     my ( $self, $userobj, $ldap ) = @_;
 376     if ( $self->use_roles == 0 || $self->use_roles =~ /^false$/i ) {
 377         return undef;
 378     }
 379     $ldap ||= $self->ldap_bind;
 380     my @searchopts;
 381     if ( defined( $self->role_basedn ) ) {
 382         push( @searchopts, 'base' => $self->role_basedn );
 383     }
 384     else {
 385         Catalyst::Exception->throw(
 386             "You must set up role_basedn before looking up roles!");
 387     }
 388     my $filter_value = $userobj->has_attribute( $self->role_value );
 389     if ( !defined($filter_value) ) {
 390         Catalyst::Exception->throw( "User object "
 391                 . $userobj->username
 392                 . " has no "
 393                 . $self->role_value
 394                 . " attribute, so I can't look up it's roles!" );
 395     }
 396     my $filter = $self->_replace_filter( $self->role_filter, $filter_value );
 397     push( @searchopts, 'filter' => $filter );
 398     push( @searchopts, 'scope'  => $self->role_scope );
 399     push( @searchopts, 'attrs'  => [ $self->role_field ] );
 400     if ( defined( $self->role_search_options ) ) {
 401         push( @searchopts, %{ $self->role_search_options } );
 402     }
 403     my $rolesearch = $ldap->search(@searchopts);
 404     my @roles;
 405 RESULT: foreach my $entry ( $rolesearch->entries ) {
 406         push( @roles, $entry->get_value( $self->role_field ) );
 407     }
 408     return @roles;
 409 }
 410
 411 sub _replace_filter {
 412     my $self    = shift;
 413     my $filter  = shift;
 414     my $replace = shift;
 415     $filter =~ s/\%s/$replace/g;
 416     return $filter;
 417 }
 418
 419 =head2 user_supports
 420
 421 Returns the value of
 422 Catalyst::Authentication::Store::LDAP::User->supports(@_).
 423
 424 =cut
 425
 426 sub user_supports {
 427     my $self = shift;
 428
 429     # this can work as a class method
 430     Catalyst::Authentication::Store::LDAP::User->supports(@_);
 431 }
 432
 433 =head2 from_session( I<id>, I<$c> )
 434
 435 Returns get_user() for I<id>.
 436
 437 =cut
 438
 439 sub from_session {
 440     my ( $self, $c, $id ) = @_;
 441     my $pass;
 442     ($id, $pass) = split /,/, $id;
 443     my $user = $self->get_user($id, $c);
 444     if ($pass) {
 445         $Catalyst::Authentication::Store::LDAP::User::_ldap_connection_passwords{refaddr($user)} = $pass;
 446         warn("SET PASS FOR RESTORED USER TO $pass");
 447     }
 448     return $user;
 449 }
 450
 451 1;
 452
 453 __END__
 454
 455 =head1 AUTHORS
 456
 457 Adam Jacob <holoway@cpan.org>
 458
 459 Some parts stolen shamelessly and entirely from
 460 L<Catalyst::Plugin::Authentication::Store::Htpasswd>.
 461
 462 Currently maintained by Peter Karman <karman@cpan.org>.
 463
 464 =head1 THANKS
 465
 466 To nothingmuch, ghenry, castaway and the rest of #catalyst for the help. :)
 467
 468 =head1 SEE ALSO
 469
 470 L<Catalyst::Authentication::Store::LDAP>, L<Catalyst::Authentication::Store::LDAP::User>, L<Catalyst::Plugin::Authentication>, L<Net::LDAP>
 471
 472 =head1 COPYRIGHT & LICENSE
 473
 474 Copyright (c) 2005 the aforementioned authors. All rights
 475 reserved. This program is free software; you can redistribute
 476 it and/or modify it under the same terms as Perl itself.
 477
 478 =cut
 479