用户需要哪些权限来验证 Active Directory 中的凭据?
Posted
技术标签:
【中文标题】用户需要哪些权限来验证 Active Directory 中的凭据?【英文标题】:What permissions does user need to validate credentials in Active Directory? 【发布时间】:2013-12-09 22:27:23 【问题描述】:我有一些代码使用 PrincipalContext 对象,并将特定的用户名和密码传递到其构造函数中以绑定到 Active Directory。
然后调用 .ValidateCredentials() 为正在验证的用户传入不同的用户名和密码。
我的问题是,在 Active Directory 中需要什么权限才能让第一个用户在 Active Directory 中绑定?
【问题讨论】:
要bind,你只需要传入任何当前处于活动状态的 AuthenticatablePrinciple 对象(你知道计算机有他们登录的密码吗?域也一样?它们每隔几周就会自动更改一次,it can wreak havoc on you if you are working with VM's and rolling back snapshots),但是我不知道它是否需要更多权限来验证凭据。 (总而言之:您的标题很好,但问题的主体不是) 【参考方案1】:当我开始研究这个主题时,我发现一切都非常令人困惑,本教程是最好的入门教程之一,因为有很多首字母缩略词增加了难度。 https://hynek.me/articles/ldap-a-gentle-introduction/
我会向您推荐一个关于验证的类似问题,但不是专门针对凭据 因为有几个代码 sn-ps 与此类工作相关。
Validate a username and password against Active Directory?
我认为您要问的是身份验证功能
我认为发布我的整个代码只会让你感到困惑,所以我会解释它的结构并希望你能继续前进并给出一个 sn-p。
我做的方法很多,方法如下:
公共类 LdapAuthentication 使用方法 IsAuthenticated 其中方法被传递域、用户名和密码
然后我使用 目录条目 目录搜索器 查找和过滤 SAMAccountName 然后,这取决于您的应用程序以及您要查找的内容。
但其中大部分都在 System.DirectoryServices
try
//Bind to the native AdsObject to force authentication.
Object obj = entry.NativeObject;
DirectorySearcher search = new DirectorySearcher(entry);
search.Filter = "(SAMAccountName=" + username + ")";
search.PropertiesToLoad.Add("cn");
SearchResult result = search.FindOne();
if (null == result)
return false;
//Update the new path to the user in the directory.
_path = result.Path;
_filterAttribute = (String)result.Properties["cn"][0];
catch (Exception ex)
throw new Exception("Error authenticating user. " + ex.Message);
这应该足以让您开始搜索并获得所需的内容。祝你好运!
【讨论】:
【参考方案2】:在内部,PrincipalContext.ValidateCredentials 方法将使用提供的网络凭据简单地调用LdapConnection.Bind 方法以检查它们是否有效。如果绑定成功ValidateCredentials返回true,否则返回false。
由于LdapConnection.Bind 方法被以下属性修饰:
[DirectoryServicesPermissionAttribute(SecurityAction.LinkDemand, Unrestricted = true)]
您的应用程序的身份(运行进程和/或当前模拟的用户帐户)必须通过此权限检查才能使PrincipalContext.ValidateCredentials 方法工作。
【讨论】:
以上是关于用户需要哪些权限来验证 Active Directory 中的凭据?的主要内容,如果未能解决你的问题,请参考以下文章
如何使用 Spring 安全性从 Active Directory LDAP 填充 LDAP 权限?
Jenkins + Active Directory身份验证 - 缓慢登录
我在骆驼下使用 apache shiro,我无法使用 ldap/active 目录将组映射到角色
通过spring security进行的Active Directory身份验证会返回由LDAP引起的有效用户的错误凭据:错误代码49