C# 域用户验证问题

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了C# 域用户验证问题相关的知识,希望对你有一定的参考价值。

DirectoryEntry entry = new DirectoryEntry( "LDAP://domainName", "username" , "password");我想问下,域用户验证登陆问题,要用那个方法去验证呢?我试过entry.RefreshCache()方法是可以的,但我知道这个不是最好的办法,而且这个方法是加载缓存的,所以速度会很慢很慢的。我也试过间接的去访问属性值,也可以达到验证效果,但也是速度很慢的,估计还是和缓存有关。实在没办法了,上问问来请教了,有没有高手教我下,该用什么方法来验证域用户登陆信息呢?

参考技术A 你这种问题显然调用windowsAPI效果最好,这里需要调用advapi32.dll的LogonUser方法 示例:using System.Runtime.InteropServices; ExampleClass //调用Win32API Import advapi32.dll
[DllImport("advapi32.dll")]
private static extern bool LogonUser( string lpszUsername, string lpszDomain, string lpszPassword, int dwLogonType, int dwLogonProvider, ref IntPtr phToken); private bool ValidateUserAccount() const int LOGON32_LOGON_INTERACTIVE = 2; //通过网络验证账户合法性 const int LOGON32_PROVIDER_DEFAULT = 0; //使用默认的Windows 2000/NT NTLM验证方 IntPtr tokenHandle = new IntPtr(0);
tokenHandle = IntPtr.Zero; string domainName=""; //域 如:officedomain string domainAccount=""; //域帐号 如:administrator string domainPassword="";//密码
bool checkok = LogonUser(domainName, domainAccount, domainPassword, LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT, ref tokenHandle); return checkok; ======================当然,如果是在web 里,也就是Asp.net中可以通过配置web config来拿到域信息:1. 在web.config中设置<authentication mode="Windows"/>
2. 在IIS-默认的Web站点-虚拟目录-属性-目录安全性-编辑中选择 "集成Windows验证",注意"匿名访问"一定不要选
3. 在asp.net中使用 User.Identity.Name 就可以得到域名和用户名.

在 C# 中验证远程 Active Directory 的用户

【中文标题】在 C# 中验证远程 Active Directory 的用户【英文标题】:Validate users of Remote Active Directory in C# 【发布时间】:2015-02-23 06:13:33 【问题描述】:

我尝试从我的机​​器验证属于远程 ActiveDirectory 的用户,这与当前机器或用户域不同。我的机器和远程 ActiveDirectory 机器之间将没有信任。

初步尝试

我试图验证一个用户(输入:sAMAccountName、机器的 IP 地址、机器的域用户名(“管理员”)和机器的密码(***)。能够得到具有 'sAMAccountName' 的用户确实存在于 ActiveDirectory 中的结果。

我的要求

    假设已经在 ActiveDirectory 中创建了一个用户(“qwerty”)

    从我的本地机器上,我会得到以下信息,

    一个。远程 ActiveDirectory ipaddress

    b.远程 ActiveDirectory 机器的用户名和密码。

    c。用户“qwerty”的用户名和密码

    我需要检查远程 ActiveDirectory 的用户列表中是否存在用户“qwerty”并验证输入的 密码是否与 ActiveDirectory 的用户列表中的相同

我试过的代码:

        DirectoryEntry entry = new DirectoryEntry("LDAP://ipaddress/DC=dinesh,DC=com", name, password);
        DirectorySearcher searcher = new DirectorySearcher(entry);
        searcher.Filter = "(sAMAccountName=" + name + ")";

        try
        
            SearchResult adsSearchResult = adsSearcher.FindOne();
            isValid = true;
            adsEntry.Close();
        
        catch (Exception ex)
        
            adsEntry.Close();
        

在验证远程 ActiveDirectory 中的用户之前,是否需要在本地计算机和远程 ActiveDirectory 计算机之间创建信任?如果是,请说明如何完成;

创建信任后,如何验证用户?

================================================ ==============================

我可以使用 Rainer 建议的解决方案,但出现了一个新问题。当我通过 C# 代码从另一台机器创建新用户时,某些属性设置不正确。

这个需要在创建用户的时候强制设置吗?

【问题讨论】:

当你写“远程活动目录”时,我认为它与当前机器或用户域不是同一个域。正确的 ?如果两个域之间没有信任,您需要针对远程域进行身份验证(您的实际行为是什么)。但是,“在远程 AD 中验证用户”到底是什么意思。请更详细地解释这一点,您要验证什么?如果用户真的存在? 您好 Rainer,我已编辑并回答您的问题。请看一下 嗨,Dinesh,好的,现在这变得更清楚了。我想我理解你的要求。给我一些时间(1-2 天)以获得答案和一些建议(我今天阅读了你的问题,因为几年前我曾使用 Active Directory 和 LDAP,我会尽力帮助你) 【参考方案1】:

首先是一些基础知识(独立于这个问题)

身份验证

系统会检查 Bob 是否真的是 Bob。在 Active Directory 环境中,这通常是通过工作站的域登录来完成的,Bob 输入他的用户名和密码,然后他会获得 Kerberos 票证。稍后,如果他想访问例如远程文件服务器上的文件共享,他不再需要登录,无需输入用户名/密码即可访问文件。

授权

系统检查允许 Bob 访问哪些资源。通常 Bob 在域组中,而组在资源的 ACL(访问控制列表)中。

如果有多个信任域,Bob 需要登录一个域,并且可以访问所有其他域的资源。 这是使用 Active Directory 的主要原因之一:单点登录

检查用户/密码是否有效

如果您有用户名和密码并想检查密码是否有效,您必须登录到域。没有办法只是“检查密码是否正确”。 登录的意思是:如果有安全策略“超过3次无效登录就锁定帐户”,即使您“只想检查用户+密码”,也会锁定帐户检查错误的密码。

使用 .NET 目录服务函数

我在这里假设该进程要么由人类帐户作为普通程序运行,要么该程序是 Windows 服务或在域“技术用户”帐户下运行的计划任务。在这种情况下,您无需提供使用 AD 功能的凭据。如果访问其他信任的 AD 域,这也是如此。 如果您想登录“外国域”,并且没有信任,则需要提供用户名+密码(如您的代码中所示)。

“手动”验证用户身份

通常情况下,这应该是不需要的。示例:ASP.NET Intranet 使用情况。用户访问当前域或信任域上的 Web 应用程序,身份验证由浏览器和 IIS “在后台”完成(如果集成 Windows 身份验证已启用)。所以你永远不需要在应用程序中处理用户密码。

我没有看到很多通过代码处理密码的用例。

您的程序可能是用于存储紧急用户帐户/密码的辅助工具。并且您希望定期检查这些帐户是否有效。

这是一个简单的检查方法:

using System.DirectoryServices.AccountManagement;
...

PrincipalContext principalContext = 
     new PrincipalContext(ContextType.Domain, "192.168.1.1");

bool userValid = principalContext.ValidateCredentials(name, password);

也可以使用较旧的原始 ADSI 函数:

using System.DirectoryServices;
....

bool userOk = false;
string realName = string.Empty;

using (DirectoryEntry directoryEntry = 
   new DirectoryEntry"LDAP://192.168.1.1/DC=ad,DC=local", name, password))

    using (DirectorySearcher searcher = new DirectorySearcher(directoryEntry))
    
        searcher.Filter = "(samaccountname=" + name + ")";
        searcher.PropertiesToLoad.Add("displayname");

        SearchResult adsSearchResult = searcher.FindOne();

        if (adsSearchResult != null)
        
            if (adsSearchResult.Properties["displayname"].Count == 1)
               
                realName = (string)adsSearchResult.Properties["displayname"][0];
            
            userOk = true;
        
    
   

如果您的真正需求实际上是用户+密码的有效性检查,您可以通过以下方式之一进行。

但是,如果它是一个“普通应用程序”,它只是想检查输入的凭据是否有效,你应该重新考虑你的逻辑。在这种情况下,您最好依赖 AD 的单点登录功能。

如果有其他问题,请发表评论。

b.远程 ActiveDirectory 机器的用户名和密码。

这听起来有点不清楚。我假设您的意思是“远程域中的用户名和相应的密码”。

还有机器账户的概念,就是主机名加上$。但这是另一个话题。


创建新用户

选项 1

using (DirectoryEntry directoryEntry = new DirectoryEntry("LDAP://192.168.1.1/CN=Users,DC=ad,DC=local", 
        name, password))

    using (DirectoryEntry newUser = directoryEntry.Children.Add("CN=CharlesBarker", "user"))
    
        newUser.Properties["sAMAccountName"].Value = "CharlesBarker";
        newUser.Properties["givenName"].Value = "Charles";
        newUser.Properties["sn"].Value = "Barker";
        newUser.Properties["displayName"].Value = "CharlesBarker";
        newUser.Properties["userPrincipalName"].Value = "CharlesBarker";
        newUser.CommitChanges();
    

选项 2

using (PrincipalContext principalContext = new PrincipalContext(ContextType.Domain, "192.168.1.1", 
    "CN=Users,DC=ad,DC=local", name, password))

    using (UserPrincipal userPrincipal = new UserPrincipal(principalContext))
    
        userPrincipal.Name = "CharlesBarker";
        userPrincipal.SamAccountName = "CharlesBarker";
        userPrincipal.GivenName = "Charles";
        userPrincipal.Surname = "Barker";
        userPrincipal.DisplayName = "CharlesBarker";
        userPrincipal.UserPrincipalName = "CharlesBarker";
        userPrincipal.Save();
    

我留给你一个练习,看看哪个属性进入哪个用户对话框输入字段:-)

【讨论】:

感谢 Rainer,唯一的事情是我只能验证那些直接在 Active Directory 中创建的用户。如果我通过远程本地计算机上的 C# 代码创建一个新用户,属性“用户登录名(pre_Windows 2000”)设置为一些随机字符串。所以我无法验证通过 C# 代码创建的用户。(我附上了有问题的屏幕截图并编辑相同) 你是对的。您必须明确设置一些字段。请参阅我编辑的答案。

以上是关于C# 域用户验证问题的主要内容,如果未能解决你的问题,请参考以下文章

如何使用 c# 从 Windows 窗体向用户显示默认的 Windows 身份验证提示?

iOS Firebase 身份验证域对用户可见

在 c# 中使用 *** 进行活动目录身份验证

JWT跨域身份验证解决方案

c# mssql 用户验证

如何在C#中模拟没有密码的Windows身份验证登录用户