1. Accueil
  2. Question et réponse
  3. System.DirectoryServices.DirectoryEntry contient-il un constructeur qui utilise réellement "domain \ nom_utilisateur" avec Ldap?

System.DirectoryServices.DirectoryEntry contient-il un constructeur qui utilise réellement "domain \ nom_utilisateur" avec Ldap?

2009-10-15 8 views
8

Microsoft a un article KB général (Q316748) décrivant comment s'authentifier auprès d'Active Directory à l'aide de l'objet DirectoryEntry. Dans leur exemple, ils produisent une valeur de nom d'utilisateur en concaténant le nom de domaine et le nom d'utilisateur dans le format standard NetBIOS (« domaine \ nom d'utilisateur ») et en passant que comme paramètre au constructeur d'entrée de répertoire:System.DirectoryServices.DirectoryEntry contient-il un constructeur qui utilise réellement "domain nom_utilisateur" avec Ldap?

string domainAndUsername = domain + @"\" + username; 
DirectoryEntry entry = new DirectoryEntry(_path, domainAndUsername, pwd);

Il est venu récemment à notre attention que la partie domaine du nom d'utilisateur était complètement ignorée et dans plusieurs environnements, j'ai confirmé ce comportement. Le nom d'utilisateur et le mot de passe sont en fait utilisés, car l'authentification échoue lorsqu'ils sont invalides, mais n'importe quelle valeur arbitraire peut être fournie pour le nom de domaine et l'authentification passe. En un coup d'oeil, je théoriserais que ce format fonctionne pour l'accès au répertoire basé sur WinNT mais la partie du domaine est ignorée pour LDAP. Une vérification sur google montre de nombreux exemples LDAP transmettant une valeur "domaine \ nom d'utilisateur" à l'objet DirectoryEntry, ce qui fait que je n'ai rien trouvé dans ma configuration ou que beaucoup de gens sont confus par l'article de la base de connaissances. Quelqu'un peut-il confirmer que c'est le comportement attendu ou recommander un moyen d'accepter les valeurs "domaine \ nom d'utilisateur" et s'authentifier auprès d'Active Directory?

Merci,

Source

2009-10-15 John Lewin

Répondre

18

La réponse courte: Lorsque le paramètre path du constructeur DirectoryEntry contient un nom de domaine non valide l'objet DirectoryEntry sera (après une recherche infructueuse pour le domaine non valide dans le forrest) tenter une chute en arrière en laissant tomber la partie de domaine le paramètre username et tentez la connexion en utilisant le nom d'utilisateur ordinaire (sAMAccountName).

La longue réponse: Si le nom de domaine spécifié dans le paramètre username est invalide, mais l'utilisateur existe dans le domaine spécifié dans le paramètre path l'utilisateur sera authentifié (par l'utilisation de la fallback). Toutefois, si l'utilisateur existe dans un autre domaine de la forêt que celui spécifié dans le paramètre path, l'authentification ne réussira que si la partie domaine du paramètre username est incluse et correcte.

Il existe quatre façons de spécifier le paramètre nom d'utilisateur lorsqu'ils traitent avec des objets DirectoryEntry-:

  • nom distinctif (CN = Nom d'utilisateur, CN = Users, DC = domain, DC = local)
  • NT Nom du compte (DOMAIN \ Nom d'utilisateur)
  • claire et simple Nom/samAccountName (nom d'utilisateur)
  • Nom d'utilisateur principal (généralement [email protected])

Permettez-moi d'illustrer par un exemple:

using System; 
using System.Collections.Generic; 
using System.Linq; 
using System.Text; 

using System.DirectoryServices; 

namespace DirectoryTest 
{ 
    class Program 
    { 

    private static Int32 counter = 1; 

    static void Main(string[] args) 
    { 
     TestConnection(); 
    } 

    private static void TestConnection() 
    { 
     String domainOne = "LDAP://DC=domain,DC=one"; 
     String domainOneName = "DOMAINONE"; 
     String domainOneUser = "onetest"; 
     String domainOnePass = "testingONE!"; 

     String domainTwo = "LDAP://DC=domain,DC=two"; 
     String domainTwoName = "DOMAINTWO"; 
     String domainTwoUser = "twotest"; 
     String domainTwoPass = "testingTWO!"; 

     String invalidDomain = "INVALIDDOMAIN"; 

     // 1) This works because it's the correct NT Account Name in the same domain: 
     Connect(domainOne, domainOneName + "\\" + domainOneUser, domainOnePass); 

     // 2) This works because username can be supplied without the domain part 
     // (plain username = sAMAccountName): 
     Connect(domainOne, domainOneUser, domainOnePass); 

     // 3) This works because there's a fall back in DirectoryEntry to drop the domain part 
     // and attempt connection using the plain username (sAMAccountName) in (in this case) 
     // the forrest root domain: 
     Connect(domainOne, invalidDomain + "\\" + domainOneUser, domainOnePass); 

     // 4) This works because the forrest is searched for a domain matching domainTwoName: 
     Connect(domainOne, domainTwoName + "\\" + domainTwoUser, domainTwoPass); 

     // 5) This fails because domainTwoUser is not in the forrest root (domainOne) 
     // and because no domain was specified other domains are not searched: 
     Connect(domainOne, domainTwoUser, domainTwoPass); 

     // 6) This fails as well because the fallback of dropping the domain name and using 
     // the plain username fails (there's no domainTwoUser in domainOne): 
     Connect(domainOne, invalidDomain + "\\" + domainTwoUser, domainTwoPass); 

     // 7) This fails because there's no domainTwoUser in domainOneName: 
     Connect(domainOne, domainOneName + "\\" + domainTwoUser, domainTwoPass); 

     // 8) This works because there's a domainTwoUser in domainTwoName: 
     Connect(domainTwo, domainTwoName + "\\" + domainTwoUser, domainTwoPass); 

     // 9) This works because of the fallback to using plain username when connecting 
     // to domainTwo with an invalid domain name but using domainTwoUser/Pass: 
     Connect(domainTwo, invalidDomain + "\\" + domainTwoUser, domainTwoPass); 
    } 

    private static void Connect(String path, String username, String password) 
    { 
     Console.WriteLine(
     "{0}) Path: {1} User: {2} Pass: {3}", 
     counter, path, username, password); 
     DirectoryEntry de = new DirectoryEntry(path, username, password); 
     try 
     { 
     de.RefreshCache(); 
     Console.WriteLine("{0} = {1}", username, "Autenticated"); 
     } 
     catch (Exception ex) 
     { 
     Console.WriteLine("{0} ({1})", ex.Message, username); 
     } 
     Console.WriteLine(); 
     counter++; 
    } 
    } 
}

Dans l'exemple ci-dessus domain.one est le domaine racine de forêt et domain.two est la même que forrest domain.one (mais un autre arbre naturellement).

Pour répondre à votre question: l'authentification toujours échouera si l'utilisateur pas dans le domaine que nous vous connectez et non ou un nom de domaine non valide est spécifié dans le paramètre username.

Source

2009-10-16 09:30:41

+0

Merci l'homme, c'est une réponse étonnamment détaillée et j'apprécie la clarté –

+0

vous avez mentionné le cas "User Principal Name" (pré[email protected] comme format), mais il n'y a pas de test pour cela. se comporterait-il de la même manière, donc le "@ domain.local", s'il n'est pas valide, provoquerait un repli dans les cas 3) et 9)? – dlatikay

0

j'ai deux applications qui utilise le constructeur DirectoryEntry(_path, domainAndUsername, pwd); et je n'ai pas de problème d'authentification. Chaque application est installée sur un client différent, avec des structures de domaine très (très) grandes.

Source

2009-10-15 23:20:58

+0

Hmm, et la partie du nom de domaine des informations d'identification est utilisée et vous vous connectez via LDAP? Je n'ai pas de problèmes d'authentification exactement, car il s'authentifie avec succès dans tous les cas, mais il ignore la partie du nom de domaine. Si vous préfixez avec un domaine non valide, l'authentification échoue-t-elle? –

+0

Je ne peux pas le tester maintenant, mais je ferai demain et afficher les résultats ici –

 Questions connexes

  • Aucun problème connexe^_^