UserPrincipal.FindByIdentity Autorisations

Question

Je tente d'utiliser la bibliothèque .NET System.DirectoryServices.AccountManagement pour obtenir UserPrincipal pour un utilisateur Active Directory particulier.

J'ai le code suivant:

PrincipalContext context = new PrincipalContext(ContextType.Domain, "DomainName"); 
userPrincipal = UserPrincipal.FindByIdentity(context, IdentityType.SamAccountName, username); 

Ce code est en cours d'exécution en tant qu'utilisateur de domaine valide, mais quand je l'exécute, je reçois l'exception suivante:

System.DirectoryServices. DirectoryServicesCOMException (0x8007052E): Échec d'ouverture de session: nom d'utilisateur inconnu ou mot de passe incorrect.

Ce qui est intéressant est que je peux faire l'appel suivant, en utilisant le même contexte, sans problème:

context.ValidateCredentials(username, password, ContextOptions.Negotiate) 

Idées?

Answer 1

Vous devez utiliser le constructeur PrincipalContext qui prend le nom d'utilisateur et le mot de passe.

La raison pour laquelle Validate fonctionne est parce qu'elle utilise les informations d'identification fournies pour se lier au répertoire.

Answer 2

Il semble que vous ayez des informations d'identification réseau stockées. Sous Windows, vous pouvez spécifier d'utiliser des informations d'identification réseau différentes lorsque vous tentez d'accéder à des ressources réseau. Je peux reproduire exactement le même problème que vous voyez en mettant en place une mauvaise identification de réseau.

En supposant que votre domaine s'appelle yourdomain.com, vous pouvez dire à Windows de toujours utiliser un nom d'utilisateur et un mot de passe spécifiques lorsqu'il parle à n'importe quel ordinateur avec votredomaine.com.

=== === de Windows 7/2008

1. Lancer le "Crendentail Manager".
2. Sous section Informations d'identification Windows, cliquez sur Add a Windows credentials
3. Dans l'adresse réseau, mis en *.yourdomain.com
4. nom d'utilisateur et mot de passe, mettre dans un mauvais nom d'utilisateur ou mot de passe incorrect

=== Windows XP/2000/2003 ===

1. Cliquez sur Démarrer et Exécuter
2. Tapez control keymgr.dll
3. Cliquez sur le bouton Ajouter sur zone de texte « enregistré des noms d'utilisateur et mots de passe » dialogue
4. Dans le serveur, mis en *.yourdomain.com
5. nom d'utilisateur et mot de passe, mettre en mauvais nom d'utilisateur ou mot de passe incorrect

Si cela est vraiment le problème que vous rencontrez, la solution facile est de supprimer les mots de passe stockés.

Pourquoi contexte.ValidateCredentials (nom d'utilisateur, mot de passe, ContextOptions.Negotiate) fonctionne-t-il?C'est simplement parce que vous initialisez une autre authentification Kerberos/NTLM puisque vous fournissez à nouveau uername et password. Sous le capot, si Kerberos est choisi, il enverra au contrôleur de domaine le nom d'utilisateur et le mot de passe fournis et échangera contre un ticket Kerberos TGT. Ensuite, votre machine obtient un ticket de service sur le serveur LDAP en utilisant ce ticket TGT. Ensuite, votre machine enverra ce ticket de service au serveur LDAP. Notez que ce ticket de service ne sera pas conservé dans la session d'ouverture de session en cours.

Pourquoi UserPrincipal.FindByIdentity ne fonctionne pas? Si vous n'avez pas de mot de passe stocké, normalement cela devrait fonctionner car Windows utilisera simplement le ticket TGT de l'utilisateur d'ouverture de session en cours d'échange pour le ticket de service du serveur LDAP. Aucun processus de validation de nom d'utilisateur/mot de passe n'est impliqué. Toutefois, si vous avez un mot de passe de nom d'utilisateur incorrect, Windows pense qu'il ne doit pas utiliser le ticket TGT de l'utilisateur d'ouverture de session en cours. Au lieu de cela, il devrait obtenir un nouveau ticket TGT en utilisant le mot de passe réseau stocké. C'est la raison pour laquelle vous voyez System.DirectoryServices.DirectoryServicesCOMException (0x8007052E): Logon failure: unknown user name or bad password.