Оказывается, чтобы удовлетворить мои потребности в одном механизме входа в систему, без отдельных учетных записей поиска, разных прав группы и т. Д., Это действительно просто и совсем не требует LDAP.
- Отключить «анонимную аутентификацию» для сайта в IIS.
- Включите проверку подлинности Windows для сайта в IIS.
- Создание подпапок веб-сайта, которые представляют каждую группу.
- Поместите один файл (пустой или байтовый) в каждую папку.
- Удалите ВСЕ права доступа Windows AD (кроме ваших программистов / администраторов). Это включает IUSR - удалите это также - к подпапке.
- Добавление прав доступа к папкам по группам.
- Напишите небольшой кусочек PHP, который проверяет существование «[GroupNameFolder] /PermFile.txt» (или как вы его называете).
Это буквально так. Нет библиотек LDAP, нет вызовов LDAP. IIS позаботится обо всем этом.
Если файл существует, он находится в группе AD, которую представляет папка. Если это не так, то их нет в группе. Затем программно, если я получил «существует» на «Финансы» (например, пример моего вопроса), я разрешаю им доступ «Редактировать транзакции».
НЕДОСТАТКИ:
Это НЕ кроссплатформенный сейф (хотя методы могут быть легко адаптированы к другим платформам).