Single Sign-on in phpMyAdmin aus einer anderen PHP-Session

Sonntag, 30. Juli 2006

Geschrieben von Christian Boltz in PHP um 20:50 | Kommentar (1) | Trackback (1)

Single Sign-on in phpMyAdmin aus einer anderen PHP-Session

Ich habe eine Seite mit selbstgestricktem Login auf Basis von PHP-Sessions. Jetzt will ich phpMyAdmin einbinden, ohne dass man sich nochmal darin einloggen muss - schließlich sind die Leute ja schon auf meiner Seite eingeloggt.

Sowas schreit förmlich nach Single Sign-On. Schönes Buzzword, allerdings findet Google für phpMyAdmin recht wenig zu diesem Thema.

Nach einigem Trial&Error sowie einem Nachmittag in #phpmyadmin habe ich eine Lösung geschrieben, die nur eine Ergänzung der config.inc.php braucht, ansonsten nicht in phpMyAdmin eingreift und nichtmal das normale Login stört - ich kann also dieselbe phpMyAdmin-Instanz für Single Sign-On und Cookie-basiertes Login verwenden.

Das folgende steht bekanntlich in phpMyAdmin/config.inc.php (oder sollte zumindest dort stehen - die anderen auth_type sind böse):

$cfg['Servers'][$i]['auth_type']     = 'cookie';
$cfg['Servers'][$i]['user']          = 'root'; # eigentlich überflüssig
$cfg['Servers'][$i]['password']      = '';

Das ist auch weiterhin mein Default - solange niemand aus einer passenden PHP-Session kommt, soll er sich ganz normal anmelden können.

Kommen wir zum Single Sign-On, einzufügen nach obigen Standardwerten:

if (isset($_COOKIE['PHPSESSID'])) {
    $cb_pma_session = session_name(); # safe original session name
    $cb_pma_session_id = session_id(); # ... and id
    session_write_close();

    session_name('PHPSESSID'); 
    session_id($_COOKIE['PHPSESSID']);
    session_start();

    if (isset($_SESSION['PMA_single_signon_user'])) { # single sign-on
        $cfg['Servers'][$i]['auth_type']     = 'config';
        $cfg['Servers'][$i]['user']          = $_SESSION['PMA_single_signon_user'];
        $cfg['Servers'][$i]['password']      = $_SESSION['PMA_single_signon_pass'];
        $cb_pma_token = $_SESSION['PMA_token']; # get token
    }

    # back to the phpMyAdmin session
    session_write_close();
    session_name($cb_pma_session);
    session_id($cb_pma_session_id);
    session_start();
    
    if ($cb_pma_token) { 
        # set token - required for direct access of phpMyAdmin subpages
        $_SESSION['PMA_token'] = $cb_pma_token;
    }
}

Dieser Code springt lustig zwischen der phpMyAdmin-Session und der Session meiner Seite hin und her und holt sich aus der dortigen Session $_SESSION['PMA_single_signon_user'] und $_SESSION['PMA_single_signon_pass'] ab - die Bedeutung dieser beiden Variablen sollte naheliegend sein ;-)

Was auffällt, ist das Zwischenspeichern von $_SESSION['PMA_token'] in einer Variable, die später in die phpMyAdmin-Session eingespeist wird. Sinn dieser Übung ist es, auch Unterseiten von phpMyAdmin ("zeige Tabelle 'foo' an") direkt verlinken zu können - die erfordern aus Sicherheitsgründen die Angabe des (zufällig generierten) Tokens als URL-Parameter.

Der Code auf meiner Hauptseite ist wiederum naheliegend, ich muss nämlich die Session passend anfüttern:

$_SESSION['PMA_single_signon_user'] = "username";  # MySQL Username
$_SESSION['PMA_single_signon_pass'] = "topsecret"; # MySQL Passwort

if (!isset($_SESSION['PMA_token'])) {
    $_SESSION['PMA_token'] = md5(uniqid(rand(), true));
}

phpMyAdmin muss natürlich auf der gleichen Domain laufen, damit das Session-Cookie der Hauptseite verfügbar ist.

Beachten sollte man, dass der User in phpMyAdmin alles darf, was ihm seine MySQL-Rechte erlauben - bei Bedarf sind diese also entsprechend restriktiv zu setzen.

Ich habe das auch mal als Enhancement Request an die phpMyAdmin-Entwickler geschickt. Es bleibt abzuwarten, ob es Einzug in die offizielle Codebasis findet - das Umschalten zwischen mehreren Sessions ist schon etwas exotisch ;-)

Tags für diesen Artikel: login, php, phpmyadmin

Trackbacks

Trackback-URL für diesen Eintrag

Single Sign-on in phpMyAdmin aus einer anderen PHP-Session II
In Single Sign-on in phpMyAdmin aus einer anderen PHP-Session habe ich erklärt, wie man mit einer bestehenden Session passwortlos zu phpMyAdmin kommt und einen entsprechden Hack für die config.inc.php gezeigt.Inzwischen wurde phpMyAdmin 2.9.0-rc1 rele

Weblog: CBlog
Aufgenommen: Sep 10, 23:35

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Das Single-Signon klappt bei mir Super. Danke für den Beitrag!

Bei einer Sache die mich stört bin ich noch nicht hinter die Lösung gestiegen.
Ich nutze das PHPKIT als CMS-system und möchte phpMyAdmin im Show-bereich, also in der Mitte mittels IFRAME anzeigen lassen (wie vom CMS so vorgesehen). Nur genau so funktioniert der direkte Link auf eine Tabelle nicht. Rufe ich phpMyAdmin als seperates Fenster auf, funktioniert es einwandfrei.

Wäre hier für einen weiteren Lösungsansatz dankbar!

#1 Thomas Walz am 23.04.2008 16:17 (Antwort)

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Umschließende Sterne heben ein Wort hervor (wort), per _wort_ kann ein Wort unterstrichen werden. Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen: Phone* Was ist Null plus Drei?
	Daten merken?

Fehler

Serendipity Fehler: Kann Datei 'serendipity_plugin_quicksearch:1ad7be9ef411269757553e15c570ce06' nicht einbinden - wird beendet.

Kommentare

Christian Boltz zu AppArmor 2.12 - The Grinch is confined!

Do, 04.01.2018 17:17

I'd also prefer to be able to redirect "restart" to "reload" - but unfortunately the syste md developers didn't lik [...]

Gianluca Frustagli zu AppArmor 2.12 - The Grinch is confined!

Do, 04.01.2018 15:37

Hi, even considered the exist ence of the "aa-teardown" comm and I don't think this is a go od idea both from a "phy [...]

Andreas zu PostfixAdmin 3.0.2

Do, 09.02.2017 08:43

Thanks for making and maintain ing this great piece of softwa re!

techrights.org zu Another openSUSE Board candidate ;-)

So, 01.01.2017 14:36

Christian Boltz zu PostfixAdmin 3.0

So, 13.11.2016 20:32

The *Handler classes basically map between database and user interface (read and write mod e, including error check [...]

Oliver zu PostfixAdmin 3.0

Sa, 12.11.2016 10:04

Hi Christian First of all, thanks for postfixadmin. I am just adding some functionalit y but could need some he [...]

techrights.org zu PostfixAdmin 3.0

Mo, 12.09.2016 05:50

victorhck zu Jeopardy!

So, 17.07.2016 14:10

yes! send me that, and I'll ch eck it out! ;) Thanks in ad vance! :)

Christian Boltz zu Jeopardy!

Do, 14.07.2016 00:45

I'm not sure if someone took p hotos ;-) Yes, you can down load it and run it locally (ev en offline) - but I shou [...]

victorhck zu Jeopardy!

Mi, 13.07.2016 23:27

Hi ! Would be great to see some pics from OSC'16 playin t his :) Downloading the packag e I can run in my PC loc [...]

techrights.org zu openSUSE Conference 2016

Mo, 04.07.2016 21:35

Sascha zu 1001 Bugs - oder: die goldenen Regeln für schlechte Programmierung

Fr, 22.05.2015 21:30

Eine sehr gute Idee, das Ganze von der anderen Seite zu betr achten (von der Seite der schl echten Programmierer :) [...]

Christian Boltz zu Releases!

Mo, 29.08.2011 16:44

Sourceforge hat auf der "Files "-Seite jedes Projekts einen R SS-Feed im Angebot (rechts übe r der Dateiliste). Fü [...]

prego zu Releases!

Mo, 29.08.2011 10:54

Gibt es fuer postfixadmin eige ntlich irgendeine release Mail ingliste oder Website die ich per RSS abbonieren kann, [...]

Kaktustier zu Die BESTEN der BESTEN der BESTEN, SIR!

Mo, 01.08.2011 01:57

Nimm die Fußzeile weg, dann st immt's ^^

Fehler

Serendipity Fehler: Kann Datei 'serendipity_plugin_archives:a63b55c8d0e400c055603e3bdb53f841' nicht einbinden - wird beendet.

Fehler

Serendipity Fehler: Kann Datei 'serendipity_plugin_categories:703eaf0ee986617672891239301e5feb' nicht einbinden - wird beendet.

Fehler

Serendipity Fehler: Kann Datei 'serendipity_plugin_syndication:3fdebd13b3456de0e2e06c084dacc549' nicht einbinden - wird beendet.

Fehler

Serendipity Fehler: Kann Datei 'serendipity_plugin_html_nugget:a9189fa4261a35d70f9292bdebe9c793' nicht einbinden - wird beendet.