Single Sign-on in phpMyAdmin aus einer anderen PHP-Session

Sonntag, 30. Juli 2006

Geschrieben von Christian Boltz in PHP um 20:50 | Kommentar (1) | Trackback (1)

Single Sign-on in phpMyAdmin aus einer anderen PHP-Session

Ich habe eine Seite mit selbstgestricktem Login auf Basis von PHP-Sessions. Jetzt will ich phpMyAdmin einbinden, ohne dass man sich nochmal darin einloggen muss - schließlich sind die Leute ja schon auf meiner Seite eingeloggt.

Sowas schreit förmlich nach Single Sign-On. Schönes Buzzword, allerdings findet Google für phpMyAdmin recht wenig zu diesem Thema.

Nach einigem Trial&Error sowie einem Nachmittag in #phpmyadmin habe ich eine Lösung geschrieben, die nur eine Ergänzung der config.inc.php braucht, ansonsten nicht in phpMyAdmin eingreift und nichtmal das normale Login stört - ich kann also dieselbe phpMyAdmin-Instanz für Single Sign-On und Cookie-basiertes Login verwenden.

Das folgende steht bekanntlich in phpMyAdmin/config.inc.php (oder sollte zumindest dort stehen - die anderen auth_type sind böse):

$cfg['Servers'][$i]['auth_type']     = 'cookie';
$cfg['Servers'][$i]['user']          = 'root'; # eigentlich überflüssig
$cfg['Servers'][$i]['password']      = '';

Das ist auch weiterhin mein Default - solange niemand aus einer passenden PHP-Session kommt, soll er sich ganz normal anmelden können.

Kommen wir zum Single Sign-On, einzufügen nach obigen Standardwerten:

if (isset($_COOKIE['PHPSESSID'])) {
    $cb_pma_session = session_name(); # safe original session name
    $cb_pma_session_id = session_id(); # ... and id
    session_write_close();

    session_name('PHPSESSID'); 
    session_id($_COOKIE['PHPSESSID']);
    session_start();

    if (isset($_SESSION['PMA_single_signon_user'])) { # single sign-on
        $cfg['Servers'][$i]['auth_type']     = 'config';
        $cfg['Servers'][$i]['user']          = $_SESSION['PMA_single_signon_user'];
        $cfg['Servers'][$i]['password']      = $_SESSION['PMA_single_signon_pass'];
        $cb_pma_token = $_SESSION['PMA_token']; # get token
    }

    # back to the phpMyAdmin session
    session_write_close();
    session_name($cb_pma_session);
    session_id($cb_pma_session_id);
    session_start();
    
    if ($cb_pma_token) { 
        # set token - required for direct access of phpMyAdmin subpages
        $_SESSION['PMA_token'] = $cb_pma_token;
    }
}

Dieser Code springt lustig zwischen der phpMyAdmin-Session und der Session meiner Seite hin und her und holt sich aus der dortigen Session $_SESSION['PMA_single_signon_user'] und $_SESSION['PMA_single_signon_pass'] ab - die Bedeutung dieser beiden Variablen sollte naheliegend sein ;-)

Was auffällt, ist das Zwischenspeichern von $_SESSION['PMA_token'] in einer Variable, die später in die phpMyAdmin-Session eingespeist wird. Sinn dieser Übung ist es, auch Unterseiten von phpMyAdmin ("zeige Tabelle 'foo' an") direkt verlinken zu können - die erfordern aus Sicherheitsgründen die Angabe des (zufällig generierten) Tokens als URL-Parameter.

Der Code auf meiner Hauptseite ist wiederum naheliegend, ich muss nämlich die Session passend anfüttern:

$_SESSION['PMA_single_signon_user'] = "username";  # MySQL Username
$_SESSION['PMA_single_signon_pass'] = "topsecret"; # MySQL Passwort

if (!isset($_SESSION['PMA_token'])) {
    $_SESSION['PMA_token'] = md5(uniqid(rand(), true));
}

phpMyAdmin muss natürlich auf der gleichen Domain laufen, damit das Session-Cookie der Hauptseite verfügbar ist.

Beachten sollte man, dass der User in phpMyAdmin alles darf, was ihm seine MySQL-Rechte erlauben - bei Bedarf sind diese also entsprechend restriktiv zu setzen.

Ich habe das auch mal als Enhancement Request an die phpMyAdmin-Entwickler geschickt. Es bleibt abzuwarten, ob es Einzug in die offizielle Codebasis findet - das Umschalten zwischen mehreren Sessions ist schon etwas exotisch ;-)

Tags für diesen Artikel: login, php, phpmyadmin

Trackbacks

Trackback-URL für diesen Eintrag

Single Sign-on in phpMyAdmin aus einer anderen PHP-Session II
In Single Sign-on in phpMyAdmin aus einer anderen PHP-Session habe ich erklärt, wie man mit einer bestehenden Session passwortlos zu phpMyAdmin kommt und einen entsprechden Hack für die config.inc.php gezeigt.Inzwischen wurde phpMyAdmin 2.9.0-rc1 rele

Weblog: CBlog
Aufgenommen: Sep 10, 23:35

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Das Single-Signon klappt bei mir Super. Danke für den Beitrag!

Bei einer Sache die mich stört bin ich noch nicht hinter die Lösung gestiegen.
Ich nutze das PHPKIT als CMS-system und möchte phpMyAdmin im Show-bereich, also in der Mitte mittels IFRAME anzeigen lassen (wie vom CMS so vorgesehen). Nur genau so funktioniert der direkte Link auf eine Tabelle nicht. Rufe ich phpMyAdmin als seperates Fenster auf, funktioniert es einwandfrei.

Wäre hier für einen weiteren Lösungsansatz dankbar!

#1 Thomas Walz am 23.04.2008 16:17 (Antwort)

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Umschließende Sterne heben ein Wort hervor (wort), per _wort_ kann ein Wort unterstrichen werden. Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen: Phone* Was ist Zwei plus Drei?
	Daten merken?