检查用户是否属于AD组.net核心

Question

我有一个应用程序在登录时我想检查用户是否是特定AD组的一部分。如果是，则继续应用程序，如果没有则显示错误：“我确实有AD的LDAP连接地址”。

我不知道我们怎么能做这个.NET核心，因为没有任何例子可以这样做。

Answer 1

我遇到了类似的问题，并使用中间件解决了这个问题。

1. 我在appsettings.json行添加了用户和组进行身份验证（或哪些将被授权），例如：

   {
       "AuthenticationGroupsAndUsers": "domain\\group,domain\\username",
       "Logging": {
           "LogLevel": {
               "Default": "Warning"
           }
       }
   }
   

2. 添加一个新类，它将读取配置并检查当前用户是否属于授权组/用户

   public class AdAuthorizationMiddleware
   {
   
       private readonly string _groupsAndUsersConfigField = "AuthenticationGroupsAndUsers";
       private readonly List<string> _authorizedGroupAndUsers;
       private IConfigurationRoot _configuration { get; }
   
       private readonly RequestDelegate _next;
   
       public AdAuthorizationMiddleware(RequestDelegate next)
       {
           // Read and save app settings
           _configuration = GetConfiguration();
           _authorizedGroupAndUsers = _configuration[_groupsAndUsersConfigField].Split(',').ToList();
   
           _next = next;
       }
   
       public async Task Invoke(HttpContext context)
       {
           // Check does user belong to an authorized group or not
           var isAuthorized = _authorizedGroupAndUsers.Any(i => context.User.IsInRole(i));
           // Return error if the current user is not authorized
           if (!isAuthorized){
               context.Response.StatusCode = 403;
               return;
           }
           // Jump to the next middleware if the user is authorized
           await _next.Invoke(context);
       }
   
       private static IConfigurationRoot GetConfiguration()
       {
           var builder = new ConfigurationBuilder()
               .SetBasePath(Directory.GetCurrentDirectory())
               .AddJsonFile("appsettings.json");
   
           Console.WriteLine("Configuration is loaded");
           return builder.Build();
       }
   }
   

3. 为此中间件添加扩展类

   public static class AdAuthorizationMiddlewareExtension
   {
       public static IApplicationBuilder UseAdAuthorizationMiddleware(
           this IApplicationBuilder builder)
       {
           return builder.UseMiddleware<AdAuthorizationMiddleware>();
       }
   }
   

4. 在Startup.cs中调用此扩展类的静态方法 - ＆gt;配置方法：

   public void Configure(IApplicationBuilder app, IHostingEnvironment env)
   {
       // ...
       //some code 
   
       app.UseAuthentication();
       app.UseAdAuthorizationMiddleware();
   
       // some routing 
       // ...
   }
   

Answer 2

我尝试了与上面的代码类似的东西，但是遇到了一些问题，然后意识到我可以将此代码添加到Startup.cs中的ConfigureServices中：

//Required for checking Active Directory Group Membership
services.AddAuthentication(IISDefaults.AuthenticationScheme);

然后在Razor页面后面的代码中，我想限制访问，然后可以在类定义上方添加以下行：

[Authorize(Roles = "NAME OF ACTIVE DIRECTORY GROUP")]

NAME OF ACTIVE DIRECTORY GROUP是您要检查其成员资格的组的名称，例如Domain Admins。

这是我需要的所有代码，然后才能使用IIS的“ 403访问被拒绝”页面中的设置，该页面可以自定义，因此，如果用户在组中，则该页面将被加载；否则，转到403错误页面。

我想知道这种方法是否有缺点，因为我发现的所有解决方案都包含更多代码。当然，这不是跨平台的，但是我正在考虑，如果代码正在检查Active Directory组成员身份，它们可能会在IIS上运行。