那些遇到过的问题

LdapConnection与PrincipalContext

DTI*_*att 7 .net c# ssl ldap active-directory

我有以下两种使用LDAP和LDAPS验证用户的实现,我想知道哪个更好/更正确.对于记录,这两个都适用于SSL和非SSL连接.

我也很好奇,因为使用Wireshark于观看时Non-SSL PrincipalContext的版本,我仍然看到交通上的端口636的四种组合(Non-SSL LdapConnection,SSL LdapConnection,Non-SSL PrincipalContext,SSL PrincipalContext)它是唯一一个有两个端口389的流量和636而不是一个或另一个.可能是什么导致了这个?

LDAP连接方法:

bool userAuthenticated = false;
var domainName = DomainName;

if (useSSL)
{
  domainName = domainName + ":636";
}

try
{
  using (var ldap = new LdapConnection(domainName))
  {
    var networkCredential = new NetworkCredential(username, password, domainName);
    ldap.SessionOptions.VerifyServerCertificate = new VerifyServerCertificateCallback((con, cer) => true);
    ldap.SessionOptions.SecureSocketLayer = useSSL;
    ldap.SessionOptions.ProtocolVersion = 3;
    ldap.AuthType = AuthType.Negotiate;
    ldap.Bind(networkCredential);
  }

  // If the bind succeeds, we have a valid user/pass.
  userAuthenticated = true;
}
catch (LdapException ldapEx)
{
  // Error Code 0x31 signifies invalid credentials, anything else will be caught outside.
  if (!ldapEx.ErrorCode.Equals(0x31))
  {
    throw;
  }
}

return userAuthenticated;
Run Code Online (Sandbox Code Playgroud)

PrincipalContext方法:

bool userAuthenticated = false;
var domainName = DomainName;

if (useSSL)
{
  domainName = domainName + ":636";
  ContextOptions options = ContextOptions.SimpleBind | ContextOptions.SecureSocketLayer;

  using (PrincipalContext pc = new PrincipalContext(ContextType.Domain, domainName, null, options))
  {
    userAuthenticated = pc.ValidateCredentials(username, password, options);
  }
}
else
{
  using (PrincipalContext pc = new PrincipalContext(ContextType.Domain, domainName))
  {
    userAuthenticated = pc.ValidateCredentials(username, password);
  }
}

return userAuthenticated;
Run Code Online (Sandbox Code Playgroud)

小智 6

@ DTI-Matt,在上面的例子中,你使用VerifyServerCertificate总是返回的回调true.这基本上违反了通过SSL连接到LDAP的目的,因为没有执行真正的证书检查.

虽然您可以使用X509Chain和/或X509Certificate2类实现真正的证书检查,但它似乎会PrincipalContext为您处理检查.

总结一下,通过普通或SSL连接连接LDAP服务器,LdapConnectionPrincipalContext提供非常相似的功能.您必须提供LdapConnection更多手写代码才能正常工作.另一方面,PrincipalContext为您提供相同的功能,手动编写的代码更少.

请注意,非SSL通过端口636(您的默认LDAP over SSL端口)PrincipalContext连接可能是因为此类尝试尽可能安全地连接.

归档时间:

查看次数:

13347 次

最近记录:

9 年,11 月 前
相关归档
对于属性中使用的变量,是否有任何C#命名约定? 45
指定的强制转换无效..如何解决此问题 39
Java SSL connect,以编程方式将服务器证书添加到密钥库 27
命名一个"核心"大会 21
LDAPS连接的未知错误(0x80005000) 11
网页无法在Chrome中运行(wss):"握手被取消" 7
为什么我在运行 openssl ocsp 时收到验证错误:无法获得本地颁发者证书? 5
如何脱机使用LDAP凭据? 4
为什么我的客户端在使用SSL套接字和Java 7时无法读取服务器发送的第二条消息? 1
如何在libcurl中启用sslv3请求 0
难疑归档
可以在JSON中使用注释吗? 7104
如何解决Git中的合并冲突 4600
我遇到了合并冲突.我怎样才能中止合并? 2391
如何递归计算目录中的所有代码行? 1536
如何创建文件并用Java写入? 1336
如何检查iOS或macOS上的活动Internet连接? 1309
如何将键/值对添加到JavaScript对象? 1270
从Docker容器内部,如何连接到本机的本地主机? 1176
如何从另一个分支中获取一个文件 1154
如何在PHP中获取客户端IP地址 1123