使用 DirectoryServices 进行跨域身份验证

Question

我需要为我的 Intranet Web 应用程序创建一种方法，该方法将使用 DirectoryServices 针对默认域或用户指定的域对用户进行身份验证。

在我的登录表单上，用户可以以“用户名”和“密码”或“域\用户名”的形式提供凭据代码>和<代码>“密码” 当用户与网络服务器位于同一域时可以使用第一种情况，并且非常简单。我使用的代码是：

 string domain = "";
 // Code to check if the username is in form of "domain\user" or "user"
 string username = ParseUsername(username, out domain);
 if(domain == "")
    domain = defaultDomain;

 PrincipalContext context = new PrincipalContext(ContextType.Domain, domain, username, password); 
 bool IsAuthenticated = context.ValidateCredentials(username, password)

我将用户名和密码传递给PrincipalContext构造函数，以便在我尝试访问另一个域的情况下绑定调用。

对于本地域，代码工作正常。但是，当我尝试检查通过用户名指定的另一个域时，我收到“无法联系服务器”错误。

我还尝试使用不同的 ContextOptions，例如 ContextOptions.SimpleBind 或 ContextOptions.Negotiate，但我似乎总是得到相同的结果。

我需要实现这一点，因为应用程序正在运送给具有单域或多域环境的各种客户。 在“远程”域的情况下我还应该指定其他内容吗？代码需要灵活，因为它将部署在各种环境中。

谢谢

编辑：我必须指出，我更喜欢使用 DirectoryServices.AccountManagement 和 PrincipalContext 来执行此操作，以便利用它的其他功能也提供。

另外，我必须提到，对于我的测试，我的开发计算机位于 10.0.0.* 网络上，而我测试的第二个域位于 10.0.1.* 上。我有一个路由等等，并且我可以使用 ldap 客户端成功连接，所以问题是为什么我无法通过我的 asp.net 应用程序连接到域。

Answer 1

我已经想出了这个问题的解决方案。

为了支持多个域（无论是在信任关系中还是在隔离网络中），首先我在 web.config 中添加了一个 NameValueCollection 来列出域及其域控制器。

  <domains>
    <add key="domain1" value="10.0.0.1"/>
    <add key="domain2" value="10.0.1.11"/>
  </domains>

（有关配置添加的更多信息，请参见 这个问题）

然后下一步是按照我在问题中提到的方式从用户的凭据中读取域。获取域后，我尝试从配置值中查找相应的域控制器，以获得正确的 LDAP 连接字符串。所以我的方法是这样的：

private string GetLDAPConnection(string a_Domain, string a_Username, string a_Password)
{
    // Get the domain controller server for the specified domain
    NameValueCollection domains = (NameValueCollection)ConfigurationManager.GetSection("domains");
    string domainController = domains[a_Domain.ToLower()];

    string ldapConn = string.Format("LDAP://{0}/rootDSE", domainController);

    DirectoryEntry root = new DirectoryEntry(ldapConn, a_Username, a_Password);
    string serverName = root.Properties["defaultNamingContext"].Value.ToString();
    return string.Format("LDAP://{0}/{1}", domainController, serverName);
}

一旦我返回正确的连接字符串，我就会进行一个新的调用，通过寻址正确的 LDAP 来验证用户身份

    ...
    string ldapConn = GetLDAPConnection(domain, username, a_Password);                             
    DirectoryEntry entry = new DirectoryEntry(ldapConn, username, a_Password);        

    try
    {
        try
        {
            object obj = entry.NativeObject;
        }
        catch(DirectoryServicesCOMException comExc)
        {
            LogException(comExc);
            return false;
        }

        DirectorySearcher search = new DirectorySearcher(entry);
        search.Filter = string.Format("(SAMAccountName={0})", username);
        search.PropertiesToLoad.Add("cn");
        SearchResult result = search.FindOne();

从这一点开始，我还可以执行我想要的所有其他查询，例如用户的组 。

由于对远程域的调用需要绑定到用户，因此我使用“调用”用户凭据 这样，用户就可以通过身份验证，并且呼叫将绑定到特定用户。此外，我还指定了一个“默认”域，以应对用户提供凭据而不指定域的情况。

然而，我没有按照我想要的方式使用PrincipalContext，但好的一面是，该解决方案也适用于较旧的.NET 2.0 应用程序。

我不确定这是否是解决该问题的最佳解决方案，但它似乎在我们迄今为止执行的测试中有效。

Answer 2

我不知道为什么我被否决了，但我认为这可能是错误的，您托管代码的服务器/域与您尝试联系的域之间的信任级别可能尚未建立。我无法向您提供可能发生这种情况的原因。

[EnvironmentPermissionAttribute(SecurityAction.LinkDemand, Unrestricted = true)]

您可以尝试将其添加到您的函数上方，看看它是否可以帮助您完成，但除此之外，我不明白为什么在 WinNT 域上搜索所有可能的用户会是错误的。希望这有帮助