LDAP使用IP地址和端口号连接

时间:2017-09-27 23:05:11

标签: c# active-directory ldap directoryentry directorysearcher

我所工作的公司有一款产品,该产品使用Active Directory通过包含DirectoryEntryDirectorySearcher组件的库来启用我们产品的安全功能。

如果某人是群组FOO的成员,则他们具有标准访问权限。如果他们是FOO-ADMIN的成员,则他们拥有管理员权限。

我们有一个不使用Active Directory的潜在客户。他们有一台运行LDAP的Apache服务器,他们提供了这个屏幕截图。

Customer Properties

上面,看起来我需要连接到xxx.xxx.5.101:389的域(即 DirectoryEntry(" LDAP://xxx.xxx.5.101:389") ),但是" DN或用户"字段是否适合密码?

Active Directory组件是否能够在Apache系统上进行LDAP身份验证,或者代码是否需要完全不同的控件?

以下是我放在一起的一些原始代码:

/// <summary>
/// Untested Method
/// </summary>
/// <param name="hostIp">String (EX: xxx.xxx.5.101)</param>
/// <param name="port">Int (EX: 389)</param>
/// <param name="user">String (EX: cn=danibla,ou=sysdata,ou=townhall,o=toh)</param>
/// <param name="password">String - provided password</param>
/// <param name="groupsLike">String (EX: find all groups like FOO)</param>
/// <returns>String[] array of matching membership groups</returns>
public static String[] GetMemberships(String hostIp, int port, String user, String password, String groupsLike)
{
    var results = new List<String>();
    var path = String.Format("LDAP://{0}:{1}", hostIp, port);
    using (var entry = new DirectoryEntry(path, user, password))
    {
        using (var search = new DirectorySearcher(entry, String.Format("(CN={0}*)", groupsLike)))
        {
            var expression = new Regex("CN=([^,]*),", RegexOptions.Compiled & RegexOptions.IgnoreCase);
            foreach (SearchResult item in search.FindAll())
            {
                var match = expression.Match(item.Path);
                var name = match.Groups[1].Value;
                if (name.StartsWith(groupsLike, StringComparison.OrdinalIgnoreCase))
                {
                    if (!results.Contains(name))
                    {
                        results.Add(name);
                    }
                }
            }
        }
    }
    return results.ToArray();
}

我被&#34;路径所困扰&#34;他们为&#34; DN或用户传递的参数&#34;字段,特别是当它显示它们提供密码时。

我们没有Apache环境来测试它。我们公司不希望我带着很多不必要的问题去找这个客户。

更新
仍然需要一种方法来做到这一点。开始赏金。也许引起一些关注会给我一个解决方案。

currentState

在上面的屏幕截图中,代码中username的值同时为cn-mikead,ou=sysdata,ou=townhall,o=tohmikead,两者在调用FindAll()时都具有相同的COM异常。

这是我现在的代码。

public static String[] Groups(String domain, int port, String username, int authenticationValue, String startsWith)
{
    String name;
    var results = new List<String>();
    var ldapPath =
        String.IsNullOrEmpty(domain) ? null :
        (0 < port) ?
        String.Format("LDAP://DC={0}:{1}", domain, port) :
        String.Format("LDAP://DC={0}", domain);
    using (var entry = new DirectoryEntry(String.Format("WinNT://{0}/{1}", Environment.UserDomainName, username)))
    {
        name = String.Format("{0}", entry.Properties["fullName"].Value);
    }
    var filter = String.Format("(CN={0}", name);
    var expression = new Regex("CN=([^,]*),", RegexOptions.Compiled & RegexOptions.IgnoreCase);
    using (var entry = new DirectoryEntry(ldapPath))
    {
        entry.AuthenticationType = (AuthenticationTypes)authenticationValue;
        using (var search = new DirectorySearcher(entry) { Filter = filter })
        {
            search.PropertiesToLoad.Add("memberOf");
            try
            {
                foreach (SearchResult item in search.FindAll())
                {
                    foreach (var property in item.Properties["memberOf"])
                    {
                        var name = expression.Match(String.Format("{0}", property)).Groups[1].Value;
                        if (name.StartsWith(startsWith, StringComparison.OrdinalIgnoreCase))
                        {
                            if (!results.Contains(name))
                            {
                                results.Add(name);
                            }
                        }
                    }
                }
            }
            catch (Exception err)
            {
                LogError("Groups", err);
            }
        }
    }
    return results.ToArray();
}

2 个答案:

答案 0 :(得分:2)

Apache可以运行LDAP,我的建议是确保您的客户端在其服务器上正确配置了LDAP。这可以在他们服务器上的httpd.conf中完成

答案 1 :(得分:1)

我希望我有更多时间给你一个更完整的答案。但让我看看这是否有帮助。组成员身份在eDirectory中的工作方式不同,并且没有memberOf属性。您还可能会发现您必须比DirectoryEntry,DirectorySearcher等更低级别(因为这些是为AD定制的)。 System.DirectoryServices.Protocols将为您提供较低级别的访问权限。

或者,Novell还有可以考虑使用的c#库:https://www.novell.com/developer/ndk/ldap_libraries_for_c_sharp.html

  1. 我建议您首先以具有搜索或匿名权限(如果匿名可以搜索)的权限的用户绑定到数据库,并搜索(&amp;(cn = USERNAME)(objectclass = Person))以查找你需要绑定的dn。
  2. 现在以您使用提供的凭据找到的用户dn绑定并获取groupMembership属性。
  3. 检查groupMembership属性以确定您的权限。
  4. 如果无法使groupMembership属性起作用,则可以在目录中搜索该组:((cn = GROUPNAME)(objectclass = groupOfNames)) 然后,您可以查看groupOfNames:member属性以查找您的用户名。

    我首先尝试获取绑定/身份验证,然后添加组内容。这里有一个绑定示例:https://www.codeproject.com/Articles/5969/Authentication-against-Active-Directory-and-Edirec

    如果您有证书问题,可以使用其他方法: https://www.codeproject.com/Articles/19097/eDirectory-Authentication-using-LdapConnection-and

    以下是一些有用的参考资料:

    https://www.mediawiki.org/wiki/Extension:LDAP_Authentication/Examples#Configuration_for_non-AD_domains

    https://docs.oracle.com/cd/E36500_01/E36503/html/ldap-filters-attrs-users.html#ldap-filters-attrs-users-openldap

    https://www.ibm.com/support/knowledgecenter/en/SSEQTP_8.5.5/com.ibm.websphere.wlp.doc/ae/rwlp_config_edirectoryLdapFilterProperties.html

    Connecting to LDAP from C# using DirectoryServices

    https://forums.novell.com/showthread.php/491292-Is-user-member-of-group-in-C

    https://www.novell.com/documentation/developer/ldapcsharp/?page=/documentation/developer/ldapcsharp/cnet/data/bovtz77.html

    http://mikemstech.blogspot.com/2013/03/searching-non-microsoft-ldap.html

    https://www.sqlservercentral.com/Forums/Topic811694-391-1.aspx