我正在使用DirectoryServices来针对ADLDS(轻量级Active Directory)对用户进行身份验证。我通过身份验证后。如何确定当前登录用户的DN或SID?
using (DirectoryEntry entry = new DirectoryEntry(<a>LDAP://XYZ:389</a>,
userName.ToString(),
password.ToString(),
AuthenticationTypes.Secure))
{
try
{
// Bind to the native object to force authentication to happen
Object native = entry.NativeObject;
MessageBox.Show("User authenticated!");
}
catch (Exception ex)
{
throw new Exception("User not authenticated: " + ex.Message);
}
...
由于
我在
处得到例外src = search.FindAll()
There is no such object on the server.
我意识到登录的用户在Active Directory轻量级中有一个类类型“foreignSecurityPrincipal”,所以我想也许我可以修改你的过滤器:
search.Filter = "(&(objectclass=foreignSecurityPrincipal)" + "(sAMAccountName=" + userName + "))";
但这给了我同样的例外。知道我错过了什么吗?
答案 0 :(得分:3)
据我所知,您必须为用户执行LDAP搜索,并从AD获取 distinguishedName 属性。见下文:
// you can use any root DN here that you want provided your credentials
// have search rights
DirectoryEntry searchEntry = new DirectoryEntry("LDAP://XYZ:389");
DirectorySearcher search = new DirectorySearcher(searchEntry);
search.Filter = "(&(objectclass=user)(objectCategory=person)" +
"(sAMAccountName=" + userName + "))";
if (search != null)
{
search.PropertiesToLoad.Add("sAMAccountName");
search.PropertiesToLoad.Add("cn");
search.PropertiesToLoad.Add("distinguishedName");
log.Info("Searching for attributes");
// find firest result
SearchResult searchResult = null;
using (SearchResultCollection src = search .FindAll())
{
if (src.Count > 0)
searchResult = src[0];
}
if (searchResult != null)
{
// Get DN here
string DN = searchResult.Properties["distinguishedName"][0].ToString();
}
答案 1 :(得分:0)
当我在活动目录中手动添加新用户时,无法手动定义“可分辨名称”,但约定似乎是第一个名称+''+姓氏。在这种情况下,为什么不尝试按照这种模式获得“专有名称”。我还发现如果我只是指定了一个名字来创建一个非人类用户,那么'distinguihed name'就等于没有空格的名字。
我在我的应用程序中遵循这种模式,它的工作原理比尝试为搜索用户创建自定义查询要简单得多。