在C#中验证远程Active Directory的用户
Din*_*r P 3 c# active-directory active-directory-group
我尝试从我的机器验证属于远程ActiveDirectory的用户,该机器与当前机器或用户域不是同一个域.我的机器和远程ActiveDirectory机器之间不会有任何信任.
初步尝试
我试图验证用户(输入:sAMAccountName,机器的ipaddress,机器的域用户名("管理员")和机器的密码(***).能够获得具有'sAMAccountName'的用户确实存在于ActiveDirectory中的结果.
我的要求:
想象一下,已经在ActiveDirectory中创建了一个用户("qwerty")
从我的本地机器,我将有以下信息,
一个.远程ActiveDirectory ipaddress
湾 远程ActiveDirectory机器的用户名和密码.
C.用户"qwerty"的用户名和密码
我需要检查用户"qwerty"是否存在于远程ActiveDirectory的用户列表中,并验证在ActiveDirectory的用户列表中输入的密码是否相同
我试过的代码:
DirectoryEntry entry = new DirectoryEntry("LDAP://ipaddress/DC=dinesh,DC=com", name, password);
DirectorySearcher searcher = new DirectorySearcher(entry);
searcher.Filter = "(sAMAccountName=" + name + ")";
try
{
SearchResult adsSearchResult = adsSearcher.FindOne();
isValid = true;
adsEntry.Close();
}
catch (Exception ex)
{
adsEntry.Close();
}
在验证远程ActiveDirectory中的用户之前,是否需要在本地计算机和远程ActiveDirectory计算机之间创建信任?如果是,请说明如何完成;
创建信任后,如何验证用户?
================================================== =========================
我可以使用Rainer建议的解决方案,但遇到了一个新问题.当我通过来自不同计算机的C#代码创建新用户时,某些属性未正确设置.
这是否需要在创建用户时强制设置?
首先是一些基础知识(独立于这个问题)
认证
系统检查Bob是否真的是Bob.在Active Directory环境中,这通常通过从工作站登录域来完成,Bob输入他的用户名和密码,并获得Kerberos票证.之后,如果他想访问远程文件服务器上的文件共享,他不再需要登录,并且无需输入用户名/密码即可访问这些文件.
授权
系统检查允许Bob访问哪些资源.通常Bob位于域组中,并且组位于资源的ACL(访问控制列表)中.
如果存在多个信任域,则Bob需要在一个域中登录,并且可以访问所有其他域中的资源.这是使用Active Directory的主要原因之一:单点登录
检查用户/密码是否有效
如果您有用户名和密码并想要检查密码是否有效,则必须登录该域.没有办法只是"检查密码是否正确".登录意味着:如果存在安全策略"如果超过3次无效登录则锁定帐户",即使您"只想检查用户+密码",该帐户也将被锁定,并使用错误的密码进行检查.
使用.NET目录服务功能
我假设此过程由人工帐户作为正常程序运行,或者程序是Windows服务或在域"技术用户"帐户下运行的计划任务.在这种情况下,您无需提供使用AD功能的凭据.如果访问其他信任的AD域,也是如此.如果您想登录"外国域名",并且没有信任,则需要提供用户名+密码(如代码中所示).
"手动"验证用户
通常,这不应该是必需的.示例:ASP.NET Intranet使用情况.用户访问当前域或信任域上的Web应用程序,该身份验证由浏览器和IIS"在后台"完成(如果启用了集成Windows身份验证).因此,您永远不需要在应用程序中处理用户密码.
我没有看到许多用例,其中密码由代码处理.
可能您的程序是用于存储紧急用户帐户/密码的帮助工具.并且您想要定期检查这些帐户是否有效.
这是一种检查的简单方法:
using System.DirectoryServices.AccountManagement;
...
PrincipalContext principalContext =
new PrincipalContext(ContextType.Domain, "192.168.1.1");
bool userValid = principalContext.ValidateCredentials(name, password);
也可以使用旧的原始ADSI功能:
using System.DirectoryServices;
....
bool userOk = false;
string realName = string.Empty;
using (DirectoryEntry directoryEntry =
new DirectoryEntry"LDAP://192.168.1.1/DC=ad,DC=local", name, password))
{
using (DirectorySearcher searcher = new DirectorySearcher(directoryEntry))
{
searcher.Filter = "(samaccountname=" + name + ")";
searcher.PropertiesToLoad.Add("displayname");
SearchResult adsSearchResult = searcher.FindOne();
if (adsSearchResult != null)
{
if (adsSearchResult.Properties["displayname"].Count == 1)
{
realName = (string)adsSearchResult.Properties["displayname"][0];
}
userOk = true;
}
}
}
如果您的实际要求实际上是用户+密码的有效性检查,您可以通过以下方式之一进行.
但是,如果它是"正常应用程序",只想检查输入的凭据是否有效,则应重新考虑您的逻辑.在这种情况下,您最好应该依赖AD的单点登录功能.
如果还有其他问题,请发表评论.
湾 远程ActiveDirectory机器的用户名和密码.
这听起来有点不清楚.我假设你的意思是"远程域中的用户名和相应的密码".
还有一个机器帐户的概念,它是附加$的主机名.但这是另一个话题.
创建新用户
选项1
using (DirectoryEntry directoryEntry = new DirectoryEntry("LDAP://192.168.1.1/CN=Users,DC=ad,DC=local",
name, password))
{
using (DirectoryEntry newUser = directoryEntry.Children.Add("CN=CharlesBarker", "user"))
{
newUser.Properties["sAMAccountName"].Value = "CharlesBarker";
newUser.Properties["givenName"].Value = "Charles";
newUser.Properties["sn"].Value = "Barker";
newUser.Properties["displayName"].Value = "CharlesBarker";
newUser.Properties["userPrincipalName"].Value = "CharlesBarker";
newUser.CommitChanges();
}
}
选项2
using (PrincipalContext principalContext = new PrincipalContext(ContextType.Domain, "192.168.1.1",
"CN=Users,DC=ad,DC=local", name, password))
{
using (UserPrincipal userPrincipal = new UserPrincipal(principalContext))
{
userPrincipal.Name = "CharlesBarker";
userPrincipal.SamAccountName = "CharlesBarker";
userPrincipal.GivenName = "Charles";
userPrincipal.Surname = "Barker";
userPrincipal.DisplayName = "CharlesBarker";
userPrincipal.UserPrincipalName = "CharlesBarker";
userPrincipal.Save();
}
}
我作为练习离开,找出哪个属性进入哪个用户对话框输入字段:-)
| 归档时间: |
|
| 查看次数: |
8985 次 |
| 最近记录: |