在 C# 中验证远程 Active Directory 的用户
Validate users of Remote Active Directory in C#
我尝试从我的机器验证属于远程 ActiveDirectory 的用户,该机器与当前机器或用户域不同。我的机器和远程 ActiveDirectory 机器之间将不信任。
初试
我尝试对用户进行身份验证(输入:sAMAccountName、机器的 IP 地址、机器的域用户名("Administrator")和机器的密码(***)。能够得到用户 'sAMAccountName' 确实存在于 ActiveDirectory 中。
我的要求:
假设已经在 ActiveDirectory
从我的本地机器上,我将获得以下信息,
一个。远程 ActiveDirectory ip 地址
b。远程 ActiveDirectory 计算机的用户名和密码。
c。用户 "qwerty"
我需要检查用户 "qwerty" 是否存在于远程 ActiveDirectory 的用户列表中,并验证输入的 密码 是否与 ActiveDirectory 的用户列表中的相同
我试过的代码:
DirectoryEntry entry = new DirectoryEntry("LDAP://ipaddress/DC=dinesh,DC=com", name, password);
DirectorySearcher searcher = new DirectorySearcher(entry);
searcher.Filter = "(sAMAccountName=" + name + ")";
try
{
SearchResult adsSearchResult = adsSearcher.FindOne();
isValid = true;
adsEntry.Close();
}
catch (Exception ex)
{
adsEntry.Close();
}
在验证远程 ActiveDirectory 中的用户之前,我是否需要在本地计算机和远程 ActiveDirectory 计算机之间建立信任?如果是,请说明如何完成;
创建信任后,如何验证用户?
=========================================== ==============================
我可以使用 Rainer 建议的解决方案,但遇到了一个新问题。当我从另一台机器通过 C# 代码创建新用户时,某些属性设置不正确。
是否需要在创建用户时强制设置?
首先是一些基础知识(独立于这个问题)
身份验证
系统检查鲍勃是否真的是鲍勃。在 Active Directory 环境中,这通常通过从工作站登录域来完成,Bob 输入他的用户名和密码,然后他获得一张 Kerberos 票证。稍后,如果他想访问例如远程文件服务器上的文件共享,他不再需要登录,无需输入 username/password.
即可访问文件
授权
系统检查允许Bob访问哪些资源。通常Bob在域组中,一个组在资源的ACL(访问控制列表)中。
如果有多个信任域,Bob需要在一个域中登录,才能访问其他所有域中的资源。
这是使用 Active Directory 的主要原因之一:单点登录
正在检查用户/密码是否有效
如果您有用户名和密码并想检查密码是否有效,您必须登录域。没有办法只是“检查密码是否正确”。
登录意味着:如果有安全策略“如果超过3次无效登录则锁定帐户”,即使您“只想检查用户名+密码”,也将锁定密码错误的帐户。
使用 .NET 目录服务功能
我在这里假设该进程是 运行 由人类帐户作为正常程序,或者该程序是 Windows 服务或 运行 下的计划任务域“技术用户”帐户。在这种情况下,您无需提供使用 AD 功能的凭据。如果访问其他信任的 AD 域,也是如此。
如果你想登录到一个“外国域”,并且没有信任,你需要提供用户名+密码(如你的代码)。
"Manually" 验证用户
正常情况下,不需要这个。示例:ASP.NET 内联网使用情况。用户访问当前域或信任域上的 Web 应用程序,身份验证由浏览器和 IIS“在后台”完成(如果集成 Windows 身份验证打开)。因此,您永远不需要在应用程序中处理用户密码。
我没有看到很多用代码处理密码的用例。
有人可能认为您的程序是用于存储紧急用户的辅助工具accounts/passwords。并且您想定期检查这些帐户是否有效。
这是一个简单的检查方法:
using System.DirectoryServices.AccountManagement;
...
PrincipalContext principalContext =
new PrincipalContext(ContextType.Domain, "192.168.1.1");
bool userValid = principalContext.ValidateCredentials(name, password);
也可以使用旧的原始 ADSI 函数:
using System.DirectoryServices;
....
bool userOk = false;
string realName = string.Empty;
using (DirectoryEntry directoryEntry =
new DirectoryEntry"LDAP://192.168.1.1/DC=ad,DC=local", name, password))
{
using (DirectorySearcher searcher = new DirectorySearcher(directoryEntry))
{
searcher.Filter = "(samaccountname=" + name + ")";
searcher.PropertiesToLoad.Add("displayname");
SearchResult adsSearchResult = searcher.FindOne();
if (adsSearchResult != null)
{
if (adsSearchResult.Properties["displayname"].Count == 1)
{
realName = (string)adsSearchResult.Properties["displayname"][0];
}
userOk = true;
}
}
}
如果您的真正需求实际上是用户名+密码的有效性检查,您可以通过以下方式之一进行。
但是,如果是"normal application",只是想检查输入的凭据是否有效,您应该重新考虑您的逻辑。在这种情况下,您最好依赖 AD 的单点登录功能。
如有其他问题,请评论。
b. Remote ActiveDirectory machine's username and password.
这听起来有点不清楚。我假设你的意思是 "a username and corresponding password in the remote domain".
这里还有机器账号的概念,就是hostname后面加上$。但那是另一个话题了。
创建新用户
选项 1
using (DirectoryEntry directoryEntry = new DirectoryEntry("LDAP://192.168.1.1/CN=Users,DC=ad,DC=local",
name, password))
{
using (DirectoryEntry newUser = directoryEntry.Children.Add("CN=CharlesBarker", "user"))
{
newUser.Properties["sAMAccountName"].Value = "CharlesBarker";
newUser.Properties["givenName"].Value = "Charles";
newUser.Properties["sn"].Value = "Barker";
newUser.Properties["displayName"].Value = "CharlesBarker";
newUser.Properties["userPrincipalName"].Value = "CharlesBarker";
newUser.CommitChanges();
}
}
选项 2
using (PrincipalContext principalContext = new PrincipalContext(ContextType.Domain, "192.168.1.1",
"CN=Users,DC=ad,DC=local", name, password))
{
using (UserPrincipal userPrincipal = new UserPrincipal(principalContext))
{
userPrincipal.Name = "CharlesBarker";
userPrincipal.SamAccountName = "CharlesBarker";
userPrincipal.GivenName = "Charles";
userPrincipal.Surname = "Barker";
userPrincipal.DisplayName = "CharlesBarker";
userPrincipal.UserPrincipalName = "CharlesBarker";
userPrincipal.Save();
}
}
我留给你作为练习,找出哪个属性进入哪个用户对话框输入字段:-)
我尝试从我的机器验证属于远程 ActiveDirectory 的用户,该机器与当前机器或用户域不同。我的机器和远程 ActiveDirectory 机器之间将不信任。
初试
我尝试对用户进行身份验证(输入:sAMAccountName、机器的 IP 地址、机器的域用户名("Administrator")和机器的密码(***)。能够得到用户 'sAMAccountName' 确实存在于 ActiveDirectory 中。
我的要求:
假设已经在 ActiveDirectory
中创建了一个用户("qwerty")
从我的本地机器上,我将获得以下信息,
一个。远程 ActiveDirectory ip 地址
b。远程 ActiveDirectory 计算机的用户名和密码。
c。用户 "qwerty"
的用户名和 密码
我需要检查用户 "qwerty" 是否存在于远程 ActiveDirectory 的用户列表中,并验证输入的 密码 是否与 ActiveDirectory 的用户列表中的相同
我试过的代码:
DirectoryEntry entry = new DirectoryEntry("LDAP://ipaddress/DC=dinesh,DC=com", name, password);
DirectorySearcher searcher = new DirectorySearcher(entry);
searcher.Filter = "(sAMAccountName=" + name + ")";
try
{
SearchResult adsSearchResult = adsSearcher.FindOne();
isValid = true;
adsEntry.Close();
}
catch (Exception ex)
{
adsEntry.Close();
}
在验证远程 ActiveDirectory 中的用户之前,我是否需要在本地计算机和远程 ActiveDirectory 计算机之间建立信任?如果是,请说明如何完成;
创建信任后,如何验证用户?
=========================================== ==============================
我可以使用 Rainer 建议的解决方案,但遇到了一个新问题。当我从另一台机器通过 C# 代码创建新用户时,某些属性设置不正确。
是否需要在创建用户时强制设置?
首先是一些基础知识(独立于这个问题)
身份验证
系统检查鲍勃是否真的是鲍勃。在 Active Directory 环境中,这通常通过从工作站登录域来完成,Bob 输入他的用户名和密码,然后他获得一张 Kerberos 票证。稍后,如果他想访问例如远程文件服务器上的文件共享,他不再需要登录,无需输入 username/password.
即可访问文件授权
系统检查允许Bob访问哪些资源。通常Bob在域组中,一个组在资源的ACL(访问控制列表)中。
如果有多个信任域,Bob需要在一个域中登录,才能访问其他所有域中的资源。 这是使用 Active Directory 的主要原因之一:单点登录
正在检查用户/密码是否有效
如果您有用户名和密码并想检查密码是否有效,您必须登录域。没有办法只是“检查密码是否正确”。 登录意味着:如果有安全策略“如果超过3次无效登录则锁定帐户”,即使您“只想检查用户名+密码”,也将锁定密码错误的帐户。
使用 .NET 目录服务功能
我在这里假设该进程是 运行 由人类帐户作为正常程序,或者该程序是 Windows 服务或 运行 下的计划任务域“技术用户”帐户。在这种情况下,您无需提供使用 AD 功能的凭据。如果访问其他信任的 AD 域,也是如此。 如果你想登录到一个“外国域”,并且没有信任,你需要提供用户名+密码(如你的代码)。
"Manually" 验证用户
正常情况下,不需要这个。示例:ASP.NET 内联网使用情况。用户访问当前域或信任域上的 Web 应用程序,身份验证由浏览器和 IIS“在后台”完成(如果集成 Windows 身份验证打开)。因此,您永远不需要在应用程序中处理用户密码。
我没有看到很多用代码处理密码的用例。
有人可能认为您的程序是用于存储紧急用户的辅助工具accounts/passwords。并且您想定期检查这些帐户是否有效。
这是一个简单的检查方法:
using System.DirectoryServices.AccountManagement;
...
PrincipalContext principalContext =
new PrincipalContext(ContextType.Domain, "192.168.1.1");
bool userValid = principalContext.ValidateCredentials(name, password);
也可以使用旧的原始 ADSI 函数:
using System.DirectoryServices;
....
bool userOk = false;
string realName = string.Empty;
using (DirectoryEntry directoryEntry =
new DirectoryEntry"LDAP://192.168.1.1/DC=ad,DC=local", name, password))
{
using (DirectorySearcher searcher = new DirectorySearcher(directoryEntry))
{
searcher.Filter = "(samaccountname=" + name + ")";
searcher.PropertiesToLoad.Add("displayname");
SearchResult adsSearchResult = searcher.FindOne();
if (adsSearchResult != null)
{
if (adsSearchResult.Properties["displayname"].Count == 1)
{
realName = (string)adsSearchResult.Properties["displayname"][0];
}
userOk = true;
}
}
}
如果您的真正需求实际上是用户名+密码的有效性检查,您可以通过以下方式之一进行。
但是,如果是"normal application",只是想检查输入的凭据是否有效,您应该重新考虑您的逻辑。在这种情况下,您最好依赖 AD 的单点登录功能。
如有其他问题,请评论。
b. Remote ActiveDirectory machine's username and password.
这听起来有点不清楚。我假设你的意思是 "a username and corresponding password in the remote domain".
这里还有机器账号的概念,就是hostname后面加上$。但那是另一个话题了。
创建新用户
选项 1
using (DirectoryEntry directoryEntry = new DirectoryEntry("LDAP://192.168.1.1/CN=Users,DC=ad,DC=local",
name, password))
{
using (DirectoryEntry newUser = directoryEntry.Children.Add("CN=CharlesBarker", "user"))
{
newUser.Properties["sAMAccountName"].Value = "CharlesBarker";
newUser.Properties["givenName"].Value = "Charles";
newUser.Properties["sn"].Value = "Barker";
newUser.Properties["displayName"].Value = "CharlesBarker";
newUser.Properties["userPrincipalName"].Value = "CharlesBarker";
newUser.CommitChanges();
}
}
选项 2
using (PrincipalContext principalContext = new PrincipalContext(ContextType.Domain, "192.168.1.1",
"CN=Users,DC=ad,DC=local", name, password))
{
using (UserPrincipal userPrincipal = new UserPrincipal(principalContext))
{
userPrincipal.Name = "CharlesBarker";
userPrincipal.SamAccountName = "CharlesBarker";
userPrincipal.GivenName = "Charles";
userPrincipal.Surname = "Barker";
userPrincipal.DisplayName = "CharlesBarker";
userPrincipal.UserPrincipalName = "CharlesBarker";
userPrincipal.Save();
}
}
我留给你作为练习,找出哪个属性进入哪个用户对话框输入字段:-)