Question

我尝试从我的计算机验证属于远程ActiveDirectory的用户，该计算机与当前计算机或用户域不是同一个域。我的机器和远程ActiveDirectory机器之间没有信任。

初次尝试

我尝试对用户进行身份验证（输入：sAMAccountName，计算机的ipaddress，计算机的域用户名（＆＃34;管理员＆＃34;）和计算机的密码（***）。能够获得具有＆＃39; sAMAccountName＆＃39;的用户确实存在于ActiveDirectory中的结果。

我的要求：

想象一下，在ActiveDirectory中创建了一个用户（＆＃34; qwerty＆＃34;）
从我的本地机器上，我将获得以下信息，

一个。远程ActiveDirectory ipaddress

湾远程ActiveDirectory机器的用户名和密码。

℃。用户的用户名和密码＆＃34; qwerty＆＃34;
我需要检查用户是否＆＃34; qwerty＆＃34;存在于远程ActiveDirectory的用户列表中，并验证在ActiveDirectory的用户列表中输入的密码是否相同

我试过的代码：

        DirectoryEntry entry = new DirectoryEntry("LDAP://ipaddress/DC=dinesh,DC=com", name, password);
        DirectorySearcher searcher = new DirectorySearcher(entry);
        searcher.Filter = "(sAMAccountName=" + name + ")";

        try
        {
            SearchResult adsSearchResult = adsSearcher.FindOne();
            isValid = true;
            adsEntry.Close();
        }
        catch (Exception ex)
        {
            adsEntry.Close();
        }

在验证远程ActiveDirectory中的用户之前，是否需要在本地计算机和远程ActiveDirectory计算机之间创建信任？如果是，请说明如何完成;

创建信任后，如何验证用户？

=============================================== ============================

我可以使用Rainer建议的解决方案，但遇到了一个新问题。当我通过来自不同计算机的C＃代码创建新用户时，某些属性未正确设置。 Properties not set when creating user

创建用户时是否需要强制设置？

Answer 1

首先是一些基础知识（独立于此问题）

<强>验证

系统检查Bob是否真的是Bob。在Active Directory环境中，这通常通过从工作站登录域来完成，Bob输入他的用户名和密码，并获得Kerberos票证。之后，如果他想访问例如远程文件服务器上的文件共享，他不再需要登录，并且无需输入用户名/密码即可访问这些文件。

<强>授权

系统会检查允许Bob访问哪些资源。通常Bob位于域组中，并且组位于资源的ACL（访问控制列表）中。

如果有多个信任域，Bob需要在一个域中登录，并且可以访问所有其他域中的资源。这是使用Active Directory的主要原因之一：单点登录

检查用户/密码是否有效

如果您有用户名和密码并想要检查密码是否有效，则必须登录该域。没有办法只是“检查密码是否正确”。登录意味着：如果存在安全策略“如果超过3次无效登录则锁定帐户”，即使您“只想检查用户+密码”，该帐户也将被锁定，并使用错误的密码进行检查。

使用.NET目录服务功能

我在此假设该过程由人工帐户作为普通程序运行，或者该程序是Windows服务或在域“技术用户”帐户下运行的计划任务。在这种情况下，您无需提供使用AD功能的凭据。如果访问其他信任的AD域，也是如此。如果您想登录“外国域名”，并且没有信任，您需要提供用户名+密码（如代码中所示）。

“手动”验证用户

通常情况下，不需要这样做。示例：ASP.NET Intranet使用情况。用户访问当前域或信任域上的Web应用程序，该身份验证由浏览器和IIS“在后台”完成（如果启用了集成Windows身份验证）。因此，您永远不需要在应用程序中处理用户密码。

我没有看到很多用于密码由代码处理的用例。

可能您的程序是用于存储紧急用户帐户/密码的帮助工具。并且您想要定期检查这些帐户是否有效。

这是一种简单的检查方式：

using System.DirectoryServices.AccountManagement;
...

PrincipalContext principalContext = 
     new PrincipalContext(ContextType.Domain, "192.168.1.1");

bool userValid = principalContext.ValidateCredentials(name, password);

还可以使用旧的原始ADSI功能：

using System.DirectoryServices;
....

bool userOk = false;
string realName = string.Empty;

using (DirectoryEntry directoryEntry = 
   new DirectoryEntry"LDAP://192.168.1.1/DC=ad,DC=local", name, password))
{
    using (DirectorySearcher searcher = new DirectorySearcher(directoryEntry))
    {
        searcher.Filter = "(samaccountname=" + name + ")";
        searcher.PropertiesToLoad.Add("displayname");

        SearchResult adsSearchResult = searcher.FindOne();

        if (adsSearchResult != null)
        {
            if (adsSearchResult.Properties["displayname"].Count == 1)
            {   
                realName = (string)adsSearchResult.Properties["displayname"][0];
            }
            userOk = true;
        }
    }
}

如果您的真实要求实际上是用户+密码的有效性检查，您可以通过以下方式之一进行。

但是，如果它是“正常应用程序”，只想检查输入的凭据是否有效，则应重新考虑您的逻辑。在这种情况下，您最好应该依赖AD的单点登录功能。

如果还有其他问题，请发表评论。

湾远程ActiveDirectory机器的用户名和密码。

这听起来有点不清楚。我假设你的意思是“远程域中的用户名和相应的密码”。

还有一个机器帐户的概念，它是附加$的主机名。但这是另一个话题。

创建新用户

选项1

using (DirectoryEntry directoryEntry = new DirectoryEntry("LDAP://192.168.1.1/CN=Users,DC=ad,DC=local", 
        name, password))
{
    using (DirectoryEntry newUser = directoryEntry.Children.Add("CN=CharlesBarker", "user"))
    {
        newUser.Properties["sAMAccountName"].Value = "CharlesBarker";
        newUser.Properties["givenName"].Value = "Charles";
        newUser.Properties["sn"].Value = "Barker";
        newUser.Properties["displayName"].Value = "CharlesBarker";
        newUser.Properties["userPrincipalName"].Value = "CharlesBarker";
        newUser.CommitChanges();
    }
}

选项2

using (PrincipalContext principalContext = new PrincipalContext(ContextType.Domain, "192.168.1.1", 
    "CN=Users,DC=ad,DC=local", name, password))
{
    using (UserPrincipal userPrincipal = new UserPrincipal(principalContext))
    {
        userPrincipal.Name = "CharlesBarker";
        userPrincipal.SamAccountName = "CharlesBarker";
        userPrincipal.GivenName = "Charles";
        userPrincipal.Surname = "Barker";
        userPrincipal.DisplayName = "CharlesBarker";
        userPrincipal.UserPrincipalName = "CharlesBarker";
        userPrincipal.Save();
    }
}

我作为练习留下来找出哪个属性进入哪个用户对话框输入字段： - ）

在C＃中验证远程Active Directory的用户

1 个答案: