在ASP.NET中由AD安全组过滤

时间:2013-04-01 20:10:59

标签: asp.net active-directory

我使用.NET Framework的第4版使用本机身份验证控件在Visual Studio 2010中开发了一个ASP.NET应用程序。我使用Active Directory成员资格提供程序连接了该站点。

我的连接字符串如下所示:

connectionString="LDAP://MYDC-004/DC=company,DC=corp,DC=pvt"

这很有效,因为登录页面正常工作,并且AD中存在的任何用户都可以使用其凭据登录。

但是,我 希望允许一个特定安全组中的用户能够登录。我知道安全组(称为“GR-DwgDep-Admins”)位于AD组织单元中,因此我想出了这个修改过的连接字符串:

connectionString="LDAP://MYDC-004/CN=GR-DwgDep-Admins,OU=Groups,OU=Division,DC=company,DC=corp,DC=pvt" />

当我尝试登录时(我肯定在这个组中),我得到的错误是“无法在指定的容器中创建用户对象。”

我的语法不正确吗?或者我在概念上做错了吗?我真的更喜欢通过连接字符串设置来实现这一点,因为现有的.NET登录控件将按原样使用它。

我非常感谢任何人的建议。谢谢!

1 个答案:

答案 0 :(得分:1)

您还需要遍历用户所属的组,并检查它是否与您要授予访问权限的组匹配。

首先你需要加载用户,然后你需要遍历“memberOf”集合并检查它们是否属于指定的组。

           //Get connectionstring from web.config and initialize directory entry to search for groups user belongs to
            DirectoryEntry de = new DirectoryEntry(ConfigurationManager.ConnectionStrings["ADConnectionString"].ConnectionString);

            //Specify that we want to find the groups
            DirectorySearcher ds = new DirectorySearcher(de, "(objectCategory=group)");

            //Filter by user and specify what data to return
            ds.Filter = String.Format("(&(SAMAccountName={0}))", model.UserName);
            ds.PropertiesToLoad.Add("sAMAccountName");
            ds.PropertiesToLoad.Add("memberOf");

            //Loop though all results
            foreach (SearchResult sr in ds.FindAll())
            {
                //Get the properties available and loop through "memberof"
                DirectoryEntry desr = sr.GetDirectoryEntry();
                ResultPropertyCollection myResultPropColl = sr.Properties;

                //Get a key
                foreach (string myKey in myResultPropColl.PropertyNames)
                {
                    //Check the key that we are using "memberof"
                    if (myKey.ToLower() == "memberof")
                    {
                        //Loop through all items for given key
                        foreach (System.String myCollection in myResultPropColl[myKey])
                        {
                            //Check if we have a match
                            if (myCollection.Contains("Web - Internal Admin"))
                            {
                                //Success                                   

                                de.Dispose();
                                desr.Dispose();
                                //Do something
                            }
                        }
                    }
                }
            }

对于第一行,我从web.config获取AD连接字符串

ConfigurationManager.ConnectionStrings["ADConnectionString"].ConnectionString

的web.config 

<add name="ADConnectionString" connectionString="LDAP://ua.local/DC=ua,DC=local" />

然后我获取组并按特定用户名过滤它。然后我指定sAMAccountName和memberOf的返回值。在此示例中,获取sAMAccountName不是必需的。

    DirectorySearcher ds = new DirectorySearcher(de, "(objectCategory=group)");

        //Filter by user and specify what data to return
        ds.Filter = String.Format("(&(SAMAccountName={0}))", model.UserName);
        ds.PropertiesToLoad.Add("sAMAccountName");
        ds.PropertiesToLoad.Add("memberOf");

其余的很容易理解。遍历结果并检查“memberof”键。找到后,使用“memberof”键并循环显示其值,并检查它是否与您需要的组匹配。

if (myKey.ToLower() == "memberof")

查看此链接以获取更多信息: Searching for groups

相关问题
最新问题