如何验证域凭据(来自本机代码)?

时间:2012-03-15 16:21:07

标签: security kerberos ntlm networkcredentials

我想针对域控制器验证一组凭据。 e.g:

Username: joel
Password: splotchy
Domain:   STACKOVERFLOW

在.NET 3.5及更新版本you can use PrincipalContext.ValidateCredentials(username, password)中。

否则你就麻烦了。

按照Microsoft知识库文章How to validate user credentials on Microsoft operating systems中的代码,我到达了AcceptSecurityContext的位置:

ss = AcceptSecurityContext(
      @pAS._hcred,           //[in]CredHandle structure
      phContext,             //[in,out]CtxtHandle structure
      @InBuffDesc,           //[in]SecBufferDesc structure 
      0,                     //[in]context requirement flags
      SECURITY_NATIVE_DREP,  //[in]target data representation
      @pAS._hctxt,           //[in,out]CtxtHandle strcture
      @OutBuffDesc,          //[in,out]SecBufferDesc structure
      ContextAttributes,     //[out]Context attribute flags
      @Lifetime);            //[out]Timestamp struture

除了函数失败:

  

SEC_E_NO_AUTHENTICATING_AUTHORITY (0x80090311)

     

功能失败。无法联系任何权限进行身份验证。这可能是由于以下情况:

     
      
  • 身份验证方的域名不正确。
    •   
  • 域名不可用。
    •   
  • 信任关系失败。
    •   

这将是一个有用的错误,除了我可以使用以下命令从.NET 3.5验证相同的凭据:

using (PrincipalContext context = new PrincipalContext(ContextType.Domain, domain))
{
    valid = context.ValidateCredentials(username, password);                
}

可能发生的事情允许.NET验证一组凭据,而本机代码却不能?

更新LogonUser也失败了:

LogonUser("joel@stackoverflow.com", null, "splotchy", 
      LOGON32_LOGON_NETWORK, LOGON32_PROVIDER_WINNT50, out token);


1311 - There are currently no logon servers available to service the logon request

更新二:我已尝试过首选Negotiate提供程序,以及Windows NT4旧版“NTLM”提供程序

String package = "Negotiate"; //"NTLM"

QuerySecurityPackageInfo(package, [out] packageInfo);
...
AcquireCredentialsHandle(
      null,                 //[in] principle
      package,              //[in] package
      SECPKG_CRED_OUTBOUND, //[in] credential use
      null,                 //[in] LogonID
      pAuthIdentity,        //[in] authData
      null,                 //[in] GetKeyFn, not used and should be null
      null,                 //[in] GetKeyArgument, not used and should be null
      credHandle,           //[out] CredHandle structure
      expires);             //[out] expiration TimeStamp structure

1 个答案:

答案 0 :(得分:0)

我认为这是为了解决与您发布的另一个question相同的问题。

我有点理解你现在要做的事情。让我回顾一下你在另一篇文章中所写的内容。 

Username  Password  Domain             Machine on domain?  Validate as
========  ========  =================  ==================  ============== 
iboyd     pass1     .                  No                  Local account 
iboyd     pass1     (empty)            No                  Local account
iboyd     pass1     stackoverflow.com  No                  Domain account
iboyd     pass1     .                  Yes                 Local account
iboyd     pass1     (empty)            Yes                 Domain account
iboyd     pass1     stackoverflow.com  Yes                 Domain account

你想要

  1. 从您的计算机不信任的域中验证用户
  2. 从您的计算机信任的域中验证用户
  3. 验证本地用户

    4. 通过与域控制器进行适当的SSPI握手,您可以实现前两种情况。您在另一个问题中提到的知识库文章正在进行循环回SSPI握手。它在第一种情况下不起作用,因为客户端计算机不信任您要进行身份验证的域。这应该是您看到SEC_E_NO_AUTHENTICATING_AUTHORITY的原因。

    简而言之,如果你想做与

    完全相同的事情 
    PrincipalContext.ValidateCredentials(username, password);

    您需要以不同于域用户的方式处理本地用户。对于域用户,您需要使用给定的凭据调用ldap_bind_s绑定到域控制器。对于本地用户,您需要使用ADsOpenObject使用给定的凭据绑定到 WinnT:// YourComputerName 。这就是PrincipalContext.ValidateCredentials从我在Reflector中读到的内容。

    我没有看到有任何等效的单一原生API为您做同样的事情。

相关问题
最新问题