我所工作的公司有一款产品,该产品使用Active Directory通过包含DirectoryEntry和DirectorySearcher组件的库来启用我们产品的安全功能。
如果某人是群组FOO
的成员,则他们具有标准访问权限。如果他们是FOO-ADMIN
的成员,则他们拥有管理员权限。
我们有一个不使用Active Directory的潜在客户。他们有一台运行LDAP的Apache服务器,他们提供了这个屏幕截图。
上面,看起来我需要连接到xxx.xxx.5.101:389的域(即 DirectoryEntry(" LDAP://xxx.xxx.5.101:389") ),但是" DN或用户"字段是否适合密码?
以下是我放在一起的一些原始代码:
/// <summary>
/// Untested Method
/// </summary>
/// <param name="hostIp">String (EX: xxx.xxx.5.101)</param>
/// <param name="port">Int (EX: 389)</param>
/// <param name="user">String (EX: cn=danibla,ou=sysdata,ou=townhall,o=toh)</param>
/// <param name="password">String - provided password</param>
/// <param name="groupsLike">String (EX: find all groups like FOO)</param>
/// <returns>String[] array of matching membership groups</returns>
public static String[] GetMemberships(String hostIp, int port, String user, String password, String groupsLike)
{
var results = new List<String>();
var path = String.Format("LDAP://{0}:{1}", hostIp, port);
using (var entry = new DirectoryEntry(path, user, password))
{
using (var search = new DirectorySearcher(entry, String.Format("(CN={0}*)", groupsLike)))
{
var expression = new Regex("CN=([^,]*),", RegexOptions.Compiled & RegexOptions.IgnoreCase);
foreach (SearchResult item in search.FindAll())
{
var match = expression.Match(item.Path);
var name = match.Groups[1].Value;
if (name.StartsWith(groupsLike, StringComparison.OrdinalIgnoreCase))
{
if (!results.Contains(name))
{
results.Add(name);
}
}
}
}
}
return results.ToArray();
}
我被&#34;路径所困扰&#34;他们为&#34; DN或用户传递的参数&#34;字段,特别是当它显示它们提供密码时。
我们没有Apache环境来测试它。我们公司不希望我带着很多不必要的问题去找这个客户。
更新
仍然需要一种方法来做到这一点。开始赏金。也许引起一些关注会给我一个解决方案。
在上面的屏幕截图中,代码中username
的值同时为cn-mikead,ou=sysdata,ou=townhall,o=toh
和mikead
,两者在调用FindAll()
时都具有相同的COM异常。
这是我现在的代码。
public static String[] Groups(String domain, int port, String username, int authenticationValue, String startsWith)
{
String name;
var results = new List<String>();
var ldapPath =
String.IsNullOrEmpty(domain) ? null :
(0 < port) ?
String.Format("LDAP://DC={0}:{1}", domain, port) :
String.Format("LDAP://DC={0}", domain);
using (var entry = new DirectoryEntry(String.Format("WinNT://{0}/{1}", Environment.UserDomainName, username)))
{
name = String.Format("{0}", entry.Properties["fullName"].Value);
}
var filter = String.Format("(CN={0}", name);
var expression = new Regex("CN=([^,]*),", RegexOptions.Compiled & RegexOptions.IgnoreCase);
using (var entry = new DirectoryEntry(ldapPath))
{
entry.AuthenticationType = (AuthenticationTypes)authenticationValue;
using (var search = new DirectorySearcher(entry) { Filter = filter })
{
search.PropertiesToLoad.Add("memberOf");
try
{
foreach (SearchResult item in search.FindAll())
{
foreach (var property in item.Properties["memberOf"])
{
var name = expression.Match(String.Format("{0}", property)).Groups[1].Value;
if (name.StartsWith(startsWith, StringComparison.OrdinalIgnoreCase))
{
if (!results.Contains(name))
{
results.Add(name);
}
}
}
}
}
catch (Exception err)
{
LogError("Groups", err);
}
}
}
return results.ToArray();
}
答案 0 :(得分:2)
Apache可以运行LDAP,我的建议是确保您的客户端在其服务器上正确配置了LDAP。这可以在他们服务器上的httpd.conf中完成
答案 1 :(得分:1)
我希望我有更多时间给你一个更完整的答案。但让我看看这是否有帮助。组成员身份在eDirectory中的工作方式不同,并且没有memberOf属性。您还可能会发现您必须比DirectoryEntry,DirectorySearcher等更低级别(因为这些是为AD定制的)。 System.DirectoryServices.Protocols将为您提供较低级别的访问权限。
或者,Novell还有可以考虑使用的c#库:https://www.novell.com/developer/ndk/ldap_libraries_for_c_sharp.html
如果无法使groupMembership属性起作用,则可以在目录中搜索该组:((cn = GROUPNAME)(objectclass = groupOfNames)) 然后,您可以查看groupOfNames:member属性以查找您的用户名。
我首先尝试获取绑定/身份验证,然后添加组内容。这里有一个绑定示例:https://www.codeproject.com/Articles/5969/Authentication-against-Active-Directory-and-Edirec
如果您有证书问题,可以使用其他方法: https://www.codeproject.com/Articles/19097/eDirectory-Authentication-using-LdapConnection-and
以下是一些有用的参考资料:
Connecting to LDAP from C# using DirectoryServices
https://forums.novell.com/showthread.php/491292-Is-user-member-of-group-in-C
http://mikemstech.blogspot.com/2013/03/searching-non-microsoft-ldap.html
https://www.sqlservercentral.com/Forums/Topic811694-391-1.aspx