NTLM GET LOGIN WINDOWS WITH PHP

Commentaire de derfum le 10/08/2004 11:33:39

            $retAuth .= chr(0);                
            $retAuth .= chr(2);
           [...]
            $retAuth .= chr(0);
            $retAuth .= chr(0);
Y'a pas moyen de faire plus court ?
Sinon je peux rien dire de plus c au dessus de mes compétences ! ^_^

Commentaire de glad le 12/08/2004 08:39:51

Snif, c'est sympa, mais ds ma boite on travaille sous IIS ... T'aurais pas la même chose pour IIS à tout hasard ?
Salut.

Commentaire de glad le 12/08/2004 10:13:13

Heu merci
merci
merci :)

Commentaire de secusquad le 22/08/2004 16:23:08

Heu...Le NTLM marche tres bien avec Windows NT4, 2000, et XP...
Par contre avec windows 98 je ne sais pas si cela marche pareil...  je finis mon tutoriel et je test ton windows 98 ;)

en faite le (ord($chained64[13]) = 130) c'est un controle que le navigateur soit bien en mode 'NTLM'  si cette verification n'est pas faite, on pourais donne le login de facon manuelle :( (pas glop) par exepmle avec :
http://login:pswbidon@192.168.1.1/phpgetlogin.php

++
Nicolas

Commentaire de mlkj9876 le 22/08/2004 17:53:58

on pourais donne le login de facon manuelle :( (pas glop) par exepmle avec :
http://login:pswbidon@192.168.1.1/phpgetlogin.php

Qu'entends-tu par là secusquad? je ne suis pas sûr de te suivre.

Commentaire de secusquad le 28/10/2004 02:00:53

loic, peut etre à cause du apache_request_headers() ?
voir http://fr2.php.net/manual/fr/function.getallheaders.php

;)

Pour la prochaine version il faudra encore attendre un peut ...
j'ai pas trop le temp en ce moment ...

Commentaire de akim77 le 13/11/2004 19:28:48

Pour loic
"depuis que l'insertion dans ma premier page, je narrive plus à recuperer le contenu de mes variables"

J'avais le même pb , j'ai rajouté çà à la fin du fichier et c'est ok

echo "<br>host is  : $host";
header( "HTTP/1.0 401 Unauthorized" );  // ligne ajoutée


Merçi Nicolas , super source !

Commentaire de secusquad le 01/03/2005 22:56:50

Merci a tous pour vos commentaires ;)
effectivement il faut faire une petite conversion pour le login sinon ca peut posé des problème ;)

A++
Nicolas

Commentaire de Tortuegeniale le 04/05/2005 15:12:19

Le petit probleme (enfin chez moi lol) c'est que si je fais une identification ntlm, les $_POST et $_FILES reste toujours vide. Par contre $_GET passe toujours.

Explication : Vous avez une page php avec ce code.
<?php
print_r($_FILES);
?>
<form action="" method="post" enctype="multipart/form-data" name="form1">
  <input type="file" name="file">
  <input type="submit" name="Submit" value="Envoyer">
</form>

Si vous accédez direct à la page, vous pouvez uploader un fichier sans PB. Si vous accédez à une page avec une identification NTLM et à cette page juste aprés, l'upload (ou le post, suivant le cas) est impossible.

Je continu a chercher, si je trouve le pourquoi du comment je post ici ^^

Commentaire de maestrox66 le 27/05/2005 11:29:15

Salut,
J'ai un problème avec le script que j'utilise sous Windows 2000 pour un intranet, j'ai toujours la même erreur :

Warning: Cannot modify header information - headers already sent by (output started at /var/www/html/_test/juju/index.php:6) in /var/www/html/_test/juju/index.php on line 23

Warning: Cannot modify header information - headers already sent by (output started at /var/www/html/_test/juju/index.php:6) in /var/www/html/_test/juju/index.php on line 24

Les lignes 23 et 24 sont :
header( "HTTP/1.0 401 Unauthorized" );
header( "WWW-Authenticate: NTLM" );

De l'aide SVP
Juju

Commentaire de secusquad le 30/05/2005 17:10:03

maestrox66 :
Tu dois mettre un @ dans le test du proxy! afin de ne pas affciher de msg erreur lorsque la variable est vide :
if ($_SERVER['HTTP_VIA']
en if (@$_SERVER['HTTP_VIA']

ou tu prend la fonction  isset() :=)
Nicolas.

Commentaire de philip_c le 30/08/2005 18:03:23

Salut !
j'essaye de mettre ça en place sur IIS mais je lutte :s
c'est exactement ce qu'il me faut pour mon site intranet personnalisé type SSO (single sign on)!!

Mais arrivé à la ligne de code :
header( "HTTP/1.0 401 Unauthorized" );
IIS me renvoi une page erreur : HTTP 404 - Fichier introuvable
Pourtant j'ai utilisé une fonction perso au debut du code qui recupere tous les Headers pour remplacer la fonction apache_request_headers().
J'ai essayé en activant l'option IIS authentification windows, en desactivant les connexions anonymes mais meme resultat...
Any idea ?? Please aidez moi :)
Merci

Commentaire de Tortuegeniale le 06/09/2005 21:47:31

pfff suffit de traduire, meme un traducteur en ligne te le dira : il ne reconnait pas ta fonction apache_request_headers() donc tu dois le lancer sous IIS je pense.

Commentaire de secusquad le 11/09/2005 00:58:23

si tu peux mais en modifiant le code source, mais bon pourquoi utiliser du PHP sous IIS?
Si tu n'as pas de réel raison, passe sous un environnement Apache+PHP+mysql c'est bien mieux :)

Nicolas.

Commentaire de chris48 le 13/09/2005 11:54:58

Bonjuors, je m'excuse pour le français, mais ma langue maternelle est l'italien.

J'ai essaie le script et je recoit toujours le message NTLM Flag error!
Quelle est la raison? qu'est ce que peut faire pour resoudre le problème?

Merci

Commentaire de mlkj9876 le 15/09/2005 16:54:40

Moi aussi au bureau nous travaillons sous iis et pas question d'avoir deux serveurs
J'ai aussi trouvé des méthodes pour récup les headers mais j'ai beau les triturer dans tous les sens, je n'arrive pas à les adapter à ce script je reçois aussi l'erreur de philippe.

function read_headers($url)
{
   $url_info = parse_url($url);
   $port = isset($url_info['port']) ? $url_info['port'] : 80;
   $fp = @fsockopen($url_info['host'], $port, $errno, $errstr, 30);
   if (!$fp)
      return false;// erreur fsockopen

   $head = 'HEAD '.@$url_info['path'];
   $head .= '?'.@$url_info['query'];
   $head .= " HTTP/1.0\r\nHost: ".@$url_info['host']."\r\n\r\n";
   fputs($fp, $head);
   while (!feof($fp))
   {
      if ($header = trim(fgets($fp, 1024)))
      {
         $key = array_shift(explode(':', $header));
         if($key == $header)
            $headers[] = $header;
         else
            $headers[$key] = substr($header, strlen($key) + 2);
         unset($key);
      }
   }

   if (isset($headers['Location']) && (substr($headers['Location'], -1) == '?'))
      $headers['Location'] = substr($headers['Location'], 0, -1);

   return $headers;
}

$headers=read_headers('http://www.phpcs.com/code.aspx?id=25272');

ou tout simplement

$headers = get_headers($url,1);

Philippe qu'est-ce que Curl? Puis-je en bénéficier?

Quelqu'un aurai une nouvelle piste?

Merci
mlkj9876

Commentaire de philip_c le 16/09/2005 10:21:27

pardon j'ai oublié le lien vers Curl ! :p

http://curl.haxx.se/

Commentaire de mlkj9876 le 21/09/2005 15:26:58

je ne m'en sors pas, j'ai beau retourné le problèeme dans tous les sens, modifé le script comme je peux (et Dieu seul sait qu'il est simple et clair et bien écri - féliciation secusqad) je n'arrive pas a identifié mon user avec iis, je suis preneur pour toute nouvelle idée

mlkj9876

PS: cela pourrait-il provenir d'un paramétrage de iis ?
PS2: impossible de se passer de iis dans ma boite, déjà que le php s'était limite...

Commentaire de tabluoskk le 23/11/2005 10:49:55

Salut... J'aimerai bien utilisé c code mais à chaque fois il me met le message suivant : NTLM Flag error!
Quelqu'un sait Pourquoi?? AIdez moi SVP

Commentaire de Straasha le 01/02/2006 09:54:32

Excellent script qui fonctionne parfaitement.
Par contre j'ai le problème de la méthode POST.

Personne n'a de news à ce sujet ? Un truc marrant c'est que le problème n'existe pas sous Firefox mais seulement avec IE.

Commentaire de bigolf le 01/02/2006 23:25:05

Salut Philip_C !

Pour IIS rien de plus simple : c'est une option a cocher dans ton site virtuel.
Par contre seulement IE 6 fonctionne directement (pour les sites inscrits en "zone intranet - zone de confiance")
Sinon utiliser firefox, qui demande login /mdp  (celui du compte windows. Il est revalidé aupres du controleur de domaine (voir les options de securité dans ta conf de iis)

Pour recuperer le login c'est NTLM_LOGIN (de tete ... et il est tard) : une variable d'environnement (tu la retrouve en faisant un phpinfo)    
je posterai plus de sources si tu le souhaites (une simple fonction "authentification")

En tout cas garanti à 100% facile sous iis    :)

Commentaire de philip_c le 02/02/2006 15:58:18

Oui je suis d'accord avec MLKJ ! Envoi le ragout Bigolf ! :D
J'en rêve de ce script ça faciliterai la vie de toute l'entreprise...
Si tu peux nous préciser la config de IIS et les subtilités du code qu'on aurait pu ommettre quand tu as le tps ça serait cool ;)

Commentaire de secusquad le 03/02/2006 13:32:31

    * UTILISATION DE POST et GET ?

Il n'est pas possible d'utiliser POST et GET avec ce script. Par contre vous pouvez utiliser les variables de session afin d'identifier vos utilisateurs.
Cette limitation est due au fonctionnement du protocole NTLM qui réalise un nombre successif de requette afin de pouvoir établire une communication client/serveur.

req 1: C --> S GET. ..
       C <-- S 401 Unauthorized WWW-Authenticate: NTLM

req 2: C --> S GET. ..Authorization: NTLM. ......
       C <-- S 401 Unauthorized WWW-Authenticate: NTLM. .....

req 3: C --> S GET. ...Authorization: NTLM. .....
       C <-- S 200 Ok

Commentaire de Straasha le 03/02/2006 15:47:03

Au fait... pourquoi cela fonctionne avec Firefox alors ? C'est qu'il y a bien un truc pour IE ?

Commentaire de mlkj9876 le 06/02/2006 01:28:57

Merci BIGOLF,

Je vais tester ça dès que possible


MLKJ9876

PS: philip_c tu m'informes de tes tests stp??

Commentaire de juangab le 05/05/2006 11:30:18

Hi everybody,

secusqad franchement, un énorme merci, tu m'évites de longues prises de têtes là!

J'ai réussi à faire fonctionner le script sur un serveur Apache pour un client IE, et ça marche PRESQUE sur IIS.
En fait, grâce à ethereal (analyseur de réseau), je vois les 3 messages NTLM passer sur le réseau, sans problème, pas de problème de flags, le seul bug est que j'ai beau faire un:

header("Connection: Keep-Alive");

IIS envoit quand même une en-tête HTTP connection:close (et une autre connection:keep-alive).
J'ai lu qq part que la connexion TCP entre client et serveur devait être la même à partir du message 1. Même après avoir  activer l'option "Connexions persistantes" sur IIS, l'en-tete connection close est tjs émise.

Quelqu'un sait-il comment bloquer l'émission d'une en-tete en PHP ?
Ou comment régler ce problème, si c bien ça le bug?

juan

Commentaire de InTheMix le 09/05/2006 12:48:35

Bonjour,

d'après les commentaires précédents, ce script correspond à ce que je cherche.
Par contre, plusieurs personnes ont posés la question qui m'intéresse et je n'y ai vu aucune réponse.
Peut-être parce que la question est stupide (mais comme dirait Forrest Gump : "n'est stupide que la stupidité :p")

Enfin bref, j'obtiens chaque fois la mention : NTLM Flag error!
N'y connaissant rien, je me permet de demander ce que celà signifie et surtout, comment passer outre cette erreur ?

Merci d'avance

Commentaire de InTheMix le 10/05/2006 12:08:11

Salut JuanGab,

j'utilise internet explorer 6.0 et j'ai essayé sur Easyphp 5.0 pour voir ce que ca donnait.
Je n'ai pas essayé sur firefox parce que tous les clients de l'intranet son sous internet explorer.

Merci

Commentaire de InTheMix le 11/05/2006 10:22:39

Salut Juangab,

Merci pour ton explication détaillée, je vais voir ce que celà donne :)

Merci beaucoup et à bientôt :)

Commentaire de philip_c le 26/05/2006 12:05:15

Juangab je pense que le plus simple est d'utiliser le SSL pour ton site. mais je suppose que ça t'oblige à l'activer sur l'ensemble du site, puisque l'authentification NTLM se fait dès que l'utilisateur entre sur ton site, plutôt que dans une page d'authentification spécifique permettant de rentrer dans un espace privé, comme sur un extranet. Mais ça m'interesserait qd même d'utiliser ldaps donc si j'ai un peu de temps je testerai.

MLKJ Bigolf a assuré ! Merci a toi Bigolf. ça marche tres bien en fait je me suis croqué pendant un moment sur une erreur : $_SERVER['AUTH_TYPE'] renvoie NTLM si le navigateur est en IE6 ou firefox (incompatible IE5.5). Dans mon cas cette variable était toujours a 'Negociate', je pensais donc que le NTLM n'était pas utilisé ou pas correctement. Mais en lisant http://davenport.sourceforge.net/ntlm.html proposé par Juangab, on voit bien qu'une entête Negociate est utilisée à un moment donné, de plus, avec le logiciel Ethereal j'ai bien vu que les headers NTLM étaient utilisés. Pour que ça fonctionne il faut bien décocher 'Accès anonyme' dans IIS et afficher simplement une page PHP contenant <?php phpinfo(); ?> pour voir que la variable $_SERVER['AUTH_USER'] est correctement renseignée. Donc ça marche effectivement très bien pour un site purement intranet. Contacte moi en PV si tu veux des détails.

Par contre là où cela se complique c'est que mon site est un site à tout faire, c'est à dire une vitrine de l'entreprise, + un accès privé en SSL où les employés se connectent et ont accès à des fonctionnalités selon leurs groupes LDAP, et ce même site sert d'intranet où je souhaite que les utilisateurs soient reconnus en NTLM pour accéder directement à l'espace privé.
Pour cela il faut donc réactiver les connexions anonymes dans IIS et je suppose forcer l'authentification en NTLM uniquement si le client a une IP intranet, avec le tout premier script posté ici je suppose, mais c'est là que je n'arrive pas a le faire fonctionner! en effet, meme en interdisant les connexions anonymes sous IIS, la page me demande tjrs une authentification (type ntfs) pourtant j'ai les droits a ce niveau là, et meme en entrant mes identifiants dans cette fenetre, IE affiche 'Vous n'êtes pas autorisé à afficher cette page'.
Si quelqu'un a une idée... Merci.

Philip C.

Commentaire de juangab le 31/05/2006 12:22:07

hello!

Philip_c j'avoue que je pige pas tout là...
Jcomprends pas comment tu parviens à récupérer les bonnes infos du client alors qu'il cause "Negotiate" et non pas NTLM.
Pour moi, si on ne configure pas IIS pour parler uniquement NTLM, il propose au client qui doit s'authentifier de le faire soit "en Negotiate", soit en NTLM. Le client répond alors avec Negotiate, ce qui correspond à une authentification Kerberos, carrément plus complexe que NTLM et complètement différente!
Donc jpige pas comment ça se fait que si le client cause Negotiate, tu puisses récupérer le message et tester les flags puis renvoyer un message NTLM type 2.

Y aurait-il moyen que tu m'éclaires parce que le problème m'intéresse, ça pourrait débloquer un bug que je parviens pas à régler.

Pour ceux que ça intéressent, pour forcer IIS à causer NTLM et non pas Negotiate, il faut lancer une fenêtre de commande, se placer ds D:\InetPub\Adminscript puis taper
"cscript adsutil.vbs GET w3svc/numéro_du_siteweb/root/NTAuthenticationProviders"   --> ça c pour savoir ce qu'il cause (il peut répondre que la variable n'est pas définie, que la variable est "NTLM" ou que la variable est "NEGOTIATE,NTLM".
Ensuite, taper :
"cscript adsutil.vbs SET w3svc/numéro_du_siteweb/root/NTAuthenticationProviders "NTLM" " --> ça c'est pour obliger IIS à ne parler que NTLM. Dans ce cas, pas la peine de "forger" message NTLM type 2, il suffit juste de jeter le client une fois, au début, si le champ AUTHENTIFICATION n'est pas renseigné et IIS fabrique tout seul le challenge et gère l'authentifcation du client. QD le client renvoit le message 3, avec une requete GET, IIS exécte le script et on peut donc récupérer les infos.

Ptite remarque: pour connaitre le numéro du site web, il faut taper
"cscript adsutil.vbs ENUM /P W3SVC"  ds Adminscript --> les num des sites web apparaissent, ds le meme ordre que ceux qu'on voit ds la petite fenetre "Gestionnaire des services Internet (IIS)".

Autre ptite remarque : si il ya eu des modifs sur la configration du serveur, ne pas oublier de l'arrêter puis de le redémarrer!

Ciao

Commentaire de mechouiche42100 le 04/07/2006 15:58:52

bonjour,
ce code est super mai comment faire pour qu'il marche avec firefox?
merci.

Commentaire de juangab le 05/07/2006 09:18:35

hello,

chez moi ça marche avec firefox pour faire du ntlm (le navigateur envoi bien le message type 3 avec le login et la ntlm response), mais il c'est pas de l'authentification unique, cad que ya une fenetre d'authentification qui s'affiche pour rentrer login/mdp, alors que IE récupère le login/mdp windows tout seul (il fait de l'authentification unique -single sign on-).

Mais sinon, Firefox parle bien ntlm.

ciao

Commentaire de juangab le 05/07/2006 11:09:36

mais la fenêtre d'authentification demande aussi un mot de passe associé au login leDomaine\leLogin non?

IE récupère aussi le mot de passe utilisé pour l'authentification sur l'intranet, et il envoit avec ça la NTLM Response (challenge crypté avec le mot de passe).

Si la fenetre demande un mot de passe, il ne peut pas y avoir de problème puisque normalement il n'est connu que de l'utilisateur (à moins qu'il soit accroché sur un petit post-il en bas de l'écran, et ds ce cas, le problème ne peut pas être résolu)

Commentaire de juangab le 05/07/2006 13:45:44

non jcrois que c'est pas possible de faire du single sign on avec firefox.
En tt k chez moi ça marche pas non plus.

ciao, bonne fin de journée

Commentaire de kisecure le 02/07/2007 10:40:38

Bonjour,
Sous firefox avez vous essayez :?
dans la barre d'adresse tapez :
about:config

puis allez dans le champ :
network.automatic-ntlm-auth.trusted-uris
et mettez cette valeur a : "true"

Cordialement,
Nicolas

Commentaire de coolboy78 le 24/08/2007 14:20:12

ton code marche bien,
mais pour le pb du POST, plus rien ne marche pas chez moi meme si je remplace ton header par un location en javacsript.

Commentaire de coolboy78 le 06/09/2007 18:20:18

j'ai bien regardé avec le logiciel WIRESHARK, et apparement mon serveur ne recoit pas le 3ème message, ya til un moyen pour resoudre ce pb ? ou est le point de blocage ? XP ? IE ?

Commentaire de secusquad le 03/10/2007 16:24:15

Ce script est juste pour l'identification de l'user, il n'y a pas dans cette version l'identification NTLM a promprement dit... (verification de validité de l'user)
On peut utiliser ce script pour personnalisé une page de l'intranet entreprise (page principale avec section compta, methode, achat ...)


Mais tu peux rajouter avec LDAP la verification complete de l'user sur les sections de ton intranet....

Une version plus poussé sera bientot disponible...


++
Nicolas

Commentaire de predator747 le 03/12/2007 17:09:32

Salut SECUSQUAD! et salut à tous


AVANT tous je tient à dire que je suis un débutant en php.

Voilà moi aussi je suis en stage pareil que Gyl59,dans une boite et en ce momment je travaille sur un projet de réfonte de leur intranet pour passer d'asp en php. Voici ma config

1 Serveur web IIS/PHP
1 Serveur de bdd MS SQLSERVER

Comme je disais précédement les pages actuels sont en asp, et en ce moment,on me demande de les changer tous en php, je raconte pas tous le boulots a faire. Mais déjà avant tout, on me demande justement de faire une authentification automatique pour les utilisateur pour leur permettre l'accès à la saisie de leur heures dans l'intranet. Auparavant ils se loguait via une pages classsique "login.asp" avec les loguin et le pass enregistrer dans ms sql.Maintenant on veut qu'il puisse y acceder automatiquement sur leur poste de travail en récupérant automatiquement leur login windows et leur pass windows , ce qui est le cas de ton script ici si j'ai bien compris.

Donc pour moi par exemple j'ai recupérer ton script là que j'ai par la suite enregistrer en login .php dans mon serveur .Mais je ne comprend pas la dedans c'est quoi alors ma page cible ? c'est quoi newpage.php ? car rien qu'en l'ayant lancer avec firefox  j'obtient rien comme resultats la page se charge mais c'est complètement vide , et puis avec IE  ça m'affiche :  

*********************************************************
Le site Web ne peut pas afficher la page
HTTP 500  
   Causes les plus probables :
Le site Web est en cours de maintenance.
Le site Web présente une erreur de programmation.

   Essayez la chose suivante :
     Actualisez la page.

     Aller à la page précédente.

     Informations

Cette erreur (HTTP 500 Erreur interne au serveur) signifie que le site Web que vous visitez a rencontré un problème de serveur qui a empêché l'affichage de la page Web.

Pour plus d'informations sur les erreurs HTTP, consultez l'aide.
*********************************************************************************

Alors que j'ai pas modifier ton déjà de 1.

HELP please !!!

Commentaire de predator747 le 07/12/2007 09:27:04

Salut CORRESP et salut à tous,

mon config c'est
XP et IIS avec PHP

bah à la place de ton index php de ton intranet tu mets ça , et à la place de "newpage.php" dans ce script, tu mets la page accueil de ton site intranet comme "accueil.php" à la place de "newpage.php"  .
Par contre, après avoir tester ce scripte tout d'abord sur apche de easyphp, j'ai du coorigé le script de sesusquad car j'ai fait directement du copier coller , donc voici les corrections pour ceux ça peux aider:
ici le script je l'ai appelller indexori.php "ori comme original, et stop de suite pour ceux ki veut faire la relation avec SG1"

Notice: Undefined index: HTTP_VIA in c:\site\indexori.php on line 22
//donc ici à la ligne 22 qu lieu de mettre if ($_SERVER['HTTP_VIA'] != NULL) // le ntlm ne passe pas par proxy :(
remplecer le par ceci: if (@$_SERVER['HTTP_VIA'] != NULL) , en rajoutant juste le arobas "@" devant la variable $_SERVER pour enlever le message d'erreur inutile.

Notice: Undefined index: Authorization in c:\site\indexori.php on line 25

// maintenant pour la ligne 25 avec:
elseif($headers['Authorization'] == NULL){ mettez plutôt ceci:
elseif(isset($headers['Authorization']) == NULL){ // ici j'ai rajouter isset
voila

et enfin pour les 2 dernières ci dessus concernant le teste NTLM :
Warning: Cannot modify header information - headers already sent by (output started at c:\site\indexori.php:22) in c:\site\indexori.php on line 26

Warning: Cannot modify header information - headers already sent by (output started at c:\site\indexori.php:22) in c:\site\indexori.php on line 27

Mettez tout simplement la ligne 44, 45 et 46, 47 en commentaire pour arreter le teste ça evite de se casser la tete avec ethereal ou firebug .... en voulant débugguer ça:
donc metter ceci :

// verification du drapeau NTLM "0xb2" à l'offset 13 dans le message type-1-message (comp ie 5.5+) :
//if (ord($chained64[13]) != 178){
//echo "NTLM Flag error!";
//exit;
//}
maintenant créer une page appeller "newpage.php" pour repondre à la requête de la ligne 78 si tout est ok c'est à dire la requête:
header("Location: newpage.php");
ou au lieu de "newpage.php" mettez en votre page "accueil.php" .

dans le page "newpage.php" editer ceci en fesant "copier-coller":

<?php
echo "OK, my congratulation her GENERAL MAJOR";//c'est à dire que là ça marche et toute est ok
?>

maintenant enregistrer votre page: index.php et newpage.php dans votre site sous apache (easyphp sous windows xp ) ou (wamp sous windows xp)
et normalement si ça marche, quand vous taper dans votre URL: http://127.0.0.1/votresite/index.php, il va vous rediriger automatiquement vers la page "newpage.php"

Maintenant comme pour moi et à ceux en qui ça peut intérresser je voudrais savoir comme fait on ça sur IIS, car franchement sur Commentaire de philip_c le 26/05/2006 16:14:13 j'y ai rien compris moialors que j'ai un IIS/PHP AUSSI.

MERCI
R.Razafimamonjy
(www.razafimamonjy.fr) visiter mon site web et apportez en aussi vos critique dessus car j'ai pas mal de bug aussi la dessus

Commentaire de predator747 le 07/12/2007 18:28:30

Salut CORRESP
Moi j'ai une exactement les memes erreur aussi mais j'éspère en tous cas que t'as pris le code de SESUSQUAD ci dessus en ayant fait du copier coller direct sinon t'aurais des problème d'espace et d'emplacement de fin de tache du style "}" qui seront déplacé et ça c pa bon ça, car php peut déconner avec des fois.
Ce qu'il fallait faire déjà c'est télécharger le script de SESUSQUAD LA celui qui s'appelle index.Php
puis dedans suit bien à la lettre les modif que j'ai mis en haut comme suit: copie et coller et enregistre ceci  dans toto.Php puis n'oublie pas de creer ta page cible là "newpage.PHP"

<?php

session_start();

$headers = apache_request_headers(); // RÈcupÈration des l'entÍtes client



if (@$_SERVER['HTTP_VIA'] != NULL){ // le ntlm ne passe pas par proxy :(

echo "Proxy bypass!";

}

elseif(isset($headers['Authorization']) == NULL){ //si l'entete autorisation est inexistante

header( "HTTP/1.0 401 Unauthorized" ); //envoi au client le mode d'identification

header( "WWW-Authenticate: NTLM" ); //dans notre cas le NTLM

exit; //on quitte



}



if(isset($headers['Authorization'])) //dans le cas d'une authorisation (identification)

{

if(substr($headers['Authorization'],0,5) == 'NTLM '){ // on vÈrifie que le client soit en NTLM



$chaine=$headers['Authorization'];

$chaine=substr($chaine, 5); // recuperation du base64-encoded type1 message

$chained64=base64_decode($chaine); // decodage base64 dans $chained64



if(ord($chained64{8}) == 1){

//   |_ byte signifiant l'etape du processus d'identification (etape 3)



// verification du drapeau NTLM "0xb2" ? l'offset 13 dans le message type-1-message (comp ie 5.5+) :

//if (ord($chained64[13]) != 178){

//echo "NTLM Flag error!";

//exit;

//}



$retAuth = "NTLMSSP".chr(000).chr(002).chr(000).chr(000).chr(000).chr(000).chr(000).chr(000);

$retAuth .= chr(000).chr(040).chr(000).chr(000).chr(000).chr(001).chr(130).chr(000).chr(000);

$retAuth .= chr(000).chr(002).chr(002).chr(002).chr(000).chr(000).chr(000).chr(000).chr(000);

$retAuth .= chr(000).chr(000).chr(000).chr(000).chr(000).chr(000).chr(000);



$retAuth64 =base64_encode($retAuth); // encode en base64

$retAuth64 = trim($retAuth64); // enleve les espaces de debut et de fin

header( "HTTP/1.0 401 Unauthorized" ); // envoi le nouveau header

header( "WWW-Authenticate: NTLM $retAuth64" ); // avec l'identification supplÈmentaire

exit;



}



else if(ord($chained64{8}) == 3){

//        |_ byte signifiant l'etape du processus d'identification (etape 5)



// on recupere le domaine

$lenght_domain = (ord($chained64[31])*256 + ord($chained64[30])); // longueur du domain

$offset_domain = (ord($chained64[33])*256 + ord($chained64[32])); // position du domain.

$domain = str_replace("\0","",substr($chained64, $offset_domain, $lenght_domain)); // decoupage du du domain



//le login

$lenght_login = (ord($chained64[39])*256 + ord($chained64[38])); // longueur du login.

$offset_login = (ord($chained64[41])*256 + ord($chained64[40])); // position du login.

$login = str_replace("\0","",substr($chained64, $offset_login, $lenght_login)); // decoupage du login



if ( $login != NULL){

// stockage des donnÈes dans des variable de session

$_SESSION['Login']=$login header("Location: newpage.php");

exit;

}

else{

echo "NT Login empty!";

}





}

}



}



?>


--------------------------------------------------------


d'un coté si tu veut juste afficher ton login et ton nom de domaine sur cette meme page  c'est à dire toto.php
alor met copie et coller cette scripte:

<?php

session_start();

$headers = apache_request_headers(); // RÈcupÈration des l'entÍtes client



if (@$_SERVER['HTTP_VIA'] != NULL){ // le ntlm ne passe pas par proxy :(

echo "Proxy bypass!";

}

elseif(isset($headers['Authorization']) == NULL){ //si l'entete autorisation est inexistante

header( "HTTP/1.0 401 Unauthorized" ); //envoi au client le mode d'identification

header( "WWW-Authenticate: NTLM" ); //dans notre cas le NTLM

exit; //on quitte



}



if(isset($headers['Authorization'])) //dans le cas d'une authorisation (identification)

{

if(substr($headers['Authorization'],0,5) == 'NTLM '){ // on vÈrifie que le client soit en NTLM



$chaine=$headers['Authorization'];

$chaine=substr($chaine, 5); // recuperation du base64-encoded type1 message

$chained64=base64_decode($chaine); // decodage base64 dans $chained64



if(ord($chained64{8}) == 1){

//   |_ byte signifiant l'etape du processus d'identification (etape 3)



// verification du drapeau NTLM "0xb2" ? l'offset 13 dans le message type-1-message (comp ie 5.5+) :

//if (ord($chained64[13]) != 178){

//echo "NTLM Flag error!";

//exit;

//}



$retAuth = "NTLMSSP".chr(000).chr(002).chr(000).chr(000).chr(000).chr(000).chr(000).chr(000);

$retAuth .= chr(000).chr(040).chr(000).chr(000).chr(000).chr(001).chr(130).chr(000).chr(000);

$retAuth .= chr(000).chr(002).chr(002).chr(002).chr(000).chr(000).chr(000).chr(000).chr(000);

$retAuth .= chr(000).chr(000).chr(000).chr(000).chr(000).chr(000).chr(000);



$retAuth64 =base64_encode($retAuth); // encode en base64

$retAuth64 = trim($retAuth64); // enleve les espaces de debut et de fin

header( "HTTP/1.0 401 Unauthorized" ); // envoi le nouveau header

header( "WWW-Authenticate: NTLM $retAuth64" ); // avec l'identification supplÈmentaire

exit;



}



else if(ord($chained64{8}) == 3){

//        |_ byte signifiant l'etape du processus d'identification (etape 5)



// on recupere le domaine

$lenght_domain = (ord($chained64[31])*256 + ord($chained64[30])); // longueur du domain

$offset_domain = (ord($chained64[33])*256 + ord($chained64[32])); // position du domain.

$domain = str_replace("\0","",substr($chained64, $offset_domain, $lenght_domain)); // decoupage du du domain



//le login

$lenght_login = (ord($chained64[39])*256 + ord($chained64[38])); // longueur du login.

$offset_login = (ord($chained64[41])*256 + ord($chained64[40])); // position du login.

$login = str_replace("\0","",substr($chained64, $offset_login, $lenght_login)); // decoupage du login



if ( $login != NULL){

// stockage des donnÈes dans des variable de session

$_SESSION['Login']=$login;

$_SESSION['name'] = $domain;

//$_SERVER["SERVER_NAME"]=$domain;

echo("$domain");

echo "\&nbsp;";

echo("$login");

//header("Location: newpage.php");

exit;

}

else{

echo "NT Login empty!";

}





}

}



}



?>


--------
VOILA sinon est ce que toi ou quelqu'un peut vraiment me dire comme on met ça POUR IIS s'il vous plaît car la j'ai la pression du boss qui me lache pas.

Entre autre aussi si quelqu'un connait dreamweaverMX ou CS3 ou 8 c'est kif kif , j'ai un petit problème avec c'est que je n'ai pas de serveur PHP ADODB pour faire une connexion PHP MS SQL en serveur d'évaluation et le modèle de serveur de chez PHAKT n'exite plus il a été acheter par adobe  meme , et pourtant j'entend dire que l'outils developper toolbox d'adobe intègre déja cette serveur pourtant moi je l'ai télécharger ce developper toolbox et j'ai toujours pas PHP  adodb,

R.Razafimamonjy
(www.razafimamonjy.fr) visiter mon site web et apportez en aussi vos critique dessus car j'ai pas mal de bug aussi la dessus et cliquer aussi sur les pubs s'il vous plait

Commentaire de zpef le 04/02/2008 09:44:53

Problème du $_POST vide avec Internet Explorer :

J'utilise Apache et j'ai rencontré le même problème que nombre d'autres concernant
les $_POST vides. J'ai trouvé l'explication et donc la solution sur ce point.
Pour l'explication, je vous renvoie à cette merveilleuse documentation sur le NTLM :
http://davenport.sourceforge.net/ntlm.html#ntlmHttpAuthentication

Il y est notamment expliqué que certains clients web (et c'est le cas d'IE) vont
renvoyer une demande d'authentification de type 1 avant tout envoi d'une requête POST.

J'ai donc solutionné mon problème ainsi : j'utilise le script de Secusquad pour
identifier l'utilisateur à chaque nouvelle session. Une fois l'utilisateur identifié,
je me contente juste de répondre (en tout début des scripts) avec un message type2
quand IE m'envoie sa demande de type1, comme ça, il est content et m'envoie mon $_POST :

   // Authorization header found
   if (isset($headers['Authorization']) && substr($headers['Authorization'], 0, 5) == 'NTLM ')
   {
      // Decode base64-encoded type1 message
      $chained64 = base64_decode(substr($headers['Authorization'], 5));
      if (ord($chained64{8}) == 1)
      {
         // |_ byte signifying the stage of authentication procedure (stage 3)
         $retAuth = "NTLMSSP".chr(000).chr(002).chr(000).chr(000).chr(000).chr(000).chr(000).chr(000);
         $retAuth .= chr(000).chr(040).chr(000).chr(000).chr(000).chr(001).chr(130).chr(000).chr(000);
         $retAuth .= chr(000).chr(002).chr(002).chr(002).chr(000).chr(000).chr(000).chr(000).chr(000);
         $retAuth .= chr(000).chr(000).chr(000).chr(000).chr(000).chr(000).chr(000);
         header("HTTP/1.1 401 Unauthorized" ); // Send new header
         header("WWW-Authenticate: NTLM ". trim(base64_encode($retAuth))); // with base64 encoded identification
         exit;
      }
   }

Et ça fonctionne nickel !!!

Commentaire de Brydjy le 17/03/2008 08:55:11

bonjour,
est ce que le code à été édité, car j'ai beau le copier et faire les modifs, et bien j'ai toujours les erreurs qui se présentent.
Est ce que quelqu'un peut me confirmer le code, et essayer de m'apporter une petite aide SVP.
Merci d'avance
Cdt

Commentaire de barbeNoire le 10/06/2008 14:58:08

Salut,


Ce script fonctionne bien chez moi sous firefox mais pas sous IE6 : j'obtient "impossible d'afficher la page".

Ma config : Apache/Joomla1.5 sous winXP SP2.J'utilise PHP5.

Je me suis aperçu que sous IE6 la fonction apache_request_headers() ne me retournait pas tous les headers et notamment le header 'Authorization'.

Merci de m'aider car je suis desespéré.............................

Commentaire de barbeNoire le 15/06/2008 12:38:02

En fait , c'est la première instruction header( "HTTP/1.0 401 Unauthorized" ) qui me crée la page "la page ne peut pas être affichée " sous IE6. Le navigateur IE6 reste bloqué et ne continue pas la suite de la négociation NTLM.

Personne n'a recontré ce problème?

Commentaire de zpef le 16/06/2008 19:03:17

J'ai eu d'autres soucis à l'époque de mon installation et dont je n'ai pas reporté ici les infos :

Déjà, si vous utilisez Zend Core ou, d'une manière générale, si la fonction apache_request_headers n'est pas disponible ou ne ramène pas les bons entêtes, vous pouvez utiliser cette fonction (trouvée dans les commentaires de la doc PHP en ligne) :

function request_headers()
{
    if(function_exists("apache_request_headers")) // If apache_request_headers() exists...
    {
        if($headers = apache_request_headers()) // And works...
        {
            return $headers; // Use it
        }
    }

    $headers = array();

    foreach(array_keys($_SERVER) as $skey)
    {
        if(substr($skey, 0, 5) == "HTTP_")
        {
            $headername = str_replace(" ", "-", ucwords(strtolower(str_replace("_", " ", substr($skey, 5)))));
            $headers[$headername] = $_SERVER[$skey];
        }
    }

    return $headers;
}

Enfin, j'ai eu le même problème que BarbeNoire avec le message "impossible d'afficher la page". Je l'ai résolu en envoyant un simple caractère blanc dans tous les appels à la fonction "exit" :
...
header('WWW-Authenticate: NTLM '. $retAuth64); // with identification
exit(' ');
...

Il semble en effet que l'envoi d'une page sans contenu perturbe le fonctionnement dans certains cas.

En espérant que ça aide ! Et bon courage ! :)

Commentaire de finnforest le 29/10/2008 13:08:18

Salut,
juste pour info, au cas où cela arriverait à quelqu'un d'autre, il faut ABSOLUMENT avoir allow_call_time_pass_reference à On dans le php.ini.

sinon ça plante !
++
Sylvain.

Commentaire de jmeunier le 05/07/2009 13:18:03

tout fonctionnait très bien jusqu'à la mise à jour windows KB963027 qui est en partie une mise à jour cumulative de sécurité IE6, IE7.

Cette mise à jour "tronque" le header de réponse

AVANT la mise à jour :
login : JMEUNIER
Chaine : TlRMTVNTUAADAAAAGAAYAHQAAAAYABgAjAAAAAwADABIAAAAEAAQAFQAAAAQABAAZAAAAAAAAACkAAAABYIAAgUCzg4AAAAPQwBSAE4AUABEAEMASgBNAEUAVQBOAEkARQBSAEkAMAAwADUANgA1ADQAOAB6ElVFkk+Tlk3+0P/P19E2VRZiaCMzBY56ElVFkk+Tlk3+0P/P19E2VRZiaCMzBY4=
Chaine64Decode : NTLMSSPt¼ HTd¤,ÎNOMDEDOMAINEJMEUNIERI0056548zUE'O"-MþÐÿÏ×Ñ6Ubh#3´zUE'O"-MþÐÿÏ×Ñ6Ubh#3´

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/xaml+xml, application/vnd.ms-xpsdocument, application/x-ms-xbap, application/x-ms-application, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Accept-Language: fr
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; WOW64; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)
Host: xx.yy.fr
Connection: Keep-Alive
Authorization: NTLM TlRMTVNTUAADAAAAGAAYAHQAAAAYABgAjAAAAAwADABIAAAAEAAQAFQAAAAQABAAZAAAAAAAAACkAAAABYIAAgUCzg4AAAAPQwBSAE4AUABEAEMASgBNAEUAVQBOAEkARQBSAEkAMAAwADUANgA1ADQAOAB6ElVFkk+Tlk3+0P/P19E2VRZiaCMzBY56ElVFkk+Tlk3+0P/P19E2VRZiaCMzBY4=




APRES la mise à jour :
Chaine : TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFASgKAAAAD0==
Chaine64Decode : NTLMSSP
,¢
( 
NTLM Flag error!
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/msword, application/vnd.ms-powerpoint, application/xaml+xml, application/vnd.ms-xpsdocument, application/x-ms-xbap, application/x-ms-application, */*
Accept-Language: fr
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)
Host: xx.yy.fr
Connection: Keep-Alive
Authorization: NTLM TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFASgKAAAAD0==

Tout fonctionne très bien en FireFox.Quelqu'un a-t-il déjà rencontré ce problème ?

Commentaire de jmeunier le 09/07/2009 11:08:08

Salut ZPEF,

J'ai appliqué la méthode, et, effectivement je re-récupère le login
Merci pour l'info, cela faisait longtemps que je tournais en rond ...

Commentaire de morpheus57 le 02/08/2010 21:41:09

Bonjour à tous,

Petite précision dans le cas où vous utilisez le protocole https. Il faut commenter les lignes suivantes dans le fichier httpd-ssl.conf :
#BrowserMatch ".*MSIE.*" \
#         nokeepalive ssl-unclean-shutdown \
#         downgrade-1.0 force-response-1.0