近期研究.NET环境下连接Ldap和Ldaps(ldap over ssl)的一些收获

最新推荐文章于 2022-01-29 23:03:46 发布
最新推荐文章于 2022-01-29 23:03:46 发布
阅读量4k 收藏 7
点赞数 2
分类专栏: ldap 文章标签: ldap ldaps ldap ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZZDMDZZ/article/details/85245530
版权

最近一个项目,客户需要使用AD域进行统一登录认证。就一直在研究LDAP的研究,虽然不是什么新技术,但是网上的资料都比较杂。并且用户方面提供的信息也很乱。所以这段时间很煎熬。
简单说一下个人对ldap的理解,我认为ldap服务器就是一个存放用户信息的服务器。这个“服务器”有两种端口389和636。389端口属于开放端口(个人理解,可能不准确),网上的大多数方式都是连接这个端口。636端口属于加密端口。需要使用安全证书在SSL的基础上通信。
389端口的代码也比较简单,并且百度一搜有一大堆

//using System.DirectoryServices;
		public string CheckLogin(string UserName, string Password)
        {
            entry = new DirectoryEntry("LDAP://IP或域名:389(不写默认389)", @"管理员DN", @"管理员密码", AuthenticationTypes.None);
            try
            {
                object native = entry.NativeObject;
                DirectorySearcher searcher = new DirectorySearcher(entry);
                searcher.Filter = @"(name=" + UserName + ")";
                searcher.PropertiesToLoad.Add("samAccountName");
                searcher.PropertiesToLoad.Add("name");
                searcher.PropertiesToLoad.Add("userPrincipalName");
                SearchResult ret = searcher.FindOne();//查询单个用户
                //SearchResultCollection results = searcher.FindAll();//查询全部 可以配合for循环 遍历树
                //foreach (SearchResult ret in results)
                // {
                if (ret == null)
                {
                    return "未找到用户";
                }
                string strPath = ret.Path;
                int nIndex = strPath.LastIndexOf("/");
                strPath = strPath.Substring(nIndex + 1, strPath.Length - nIndex - 1);
                entry = new DirectoryEntry(ret.Path, strPath, Password, AuthenticationTypes.None);
                try
                {
                    object native1 = entry.NativeObject;//存在验证

                    ResultPropertyCollection prop = ret.Properties;//用户信息
                    string UID = prop["samAccountName"][0].ToString();
                    string UName = prop["name"][0].ToString();
                    string Email = prop["userPrincipalName"][0].ToString();
                    return "登录成功";
                }
                catch (Exception e)
                {
                    return e.Message;
                }
            }
            catch (Exception e)
            {
                return e.Message;
            }
            // return false;
        }

正常来说,一般的到这里就可以了。用户的存在验证、登录验证和树都能拿到。
但是,如果要求安全等级高的话就不行了,需要连接636端口,使用安全证书和SSL进行通讯。上面的代码我没有找到怎么使用SSL登录和证书验证。所以使用了下面的方法

//using System.DirectoryServices.Protocols;
//using System.Net;
		public string CheckLogin636(string UserName, string Password)
        {
            var host = "IP或域名:636"; 
            var baseDN = "baseDN";
            var adminName = @"用户DN";
            var adminPass = @"用户密码";// "管理密码";
            var identifier = new LdapDirectoryIdentifier(host);
            var conn = new LdapConnection(identifier, new NetworkCredential
            {
                UserName = adminName,
                Password = adminPass
            });
            conn.SessionOptions.SecureSocketLayer = true;//开启使用ssl
            conn.SessionOptions.VerifyServerCertificate = new VerifyServerCertificateCallback(ServerCallback);// 信任服务器是可以默认返回true:+= delegate { return true; };
            conn.AuthType = AuthType.Basic;
            conn.Bind();//这里不报错就是连接成功
            var request = new SearchRequest(baseDN, "(userPrincipalName=" + UserName + ")", System.DirectoryServices.Protocols.SearchScope.Subtree);
            SearchResponse response = conn.SendRequest(request) as SearchResponse;
            if (response.Entries != null && response.Entries.Count > 0)
            {
                //这里就表示 用户存在
                try
                {
                    var connUser = new LdapConnection(identifier, new NetworkCredential
                    {
                        UserName = response.Entries[0].DistinguishedName,
                        Password = Password
                    });
                    connUser.SessionOptions.SecureSocketLayer = true;
                    connUser.SessionOptions.VerifyServerCertificate = new VerifyServerCertificateCallback(ServerCallback);// 信任服务器是可以默认返回true:+= delegate { return true; };
                    connUser.AuthType = AuthType.Basic;
                    connUser.Bind();//这里不报错就是 验证登录成功
                    var attr = response.Entries[0].Attributes;//用户信息
                    string UID = attr["samAccountName"][0].ToString();
                    string UName = attr["name"][0].ToString();
                    string Email = attr["userPrincipalName"][0].ToString();
                    connUser.Dispose();
                    conn.Dispose();
                    return  "登录成功";
                }
                catch (Exception e)
                {
                    conn.Dispose();
                    if (e.Message == "The supplied credential is invalid.")
                    {
                        return "用户名或密码不正确";
                    }
                    else
                    {
                        return e.Message;
                    }
                }
            }
            else
            {
                conn.Dispose();
                return "未找到用户";
            }
        }

下面是验证证书的代码,但我验证的是一直不通过。不知道是代码的问题还是测试环境的问题。仅供参考。或者你有更好的验证方法。欢迎留言指教。

   public static bool ServerCallback(LdapConnection connection, X509Certificate certificate)
        {
            try
            {
                X509Certificate expectedCert =X509Certificate.CreateFromCertFile("证书路径");
                if (expectedCert.Equals(certificate))
                {
                    Console.WriteLine("验证成功");
                    return true;
                }
                else
                 {
                    Console.WriteLine("验证失败");
                    return false;
                }
            }
            catch (Exception ex)
            {

                Console.WriteLine("验证错误"+ex.Message);
                return false;
            }
        }

总结一点就是,一定要让客户把连接信息给清楚,确认无误。。。
以上信息学习至:
https://www.cnblogs.com/rangeon/p/7132481.html
https://www.cnblogs.com/netact/p/5742244.html
https://www.orcode.com/article/Hardware_20125929.html
基本上就这么些。文笔不好,经验不足。如果有出错或者需要改进的地方,还请不吝赐教。

ZZDMDZZ
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#.NET LDAPSearch
06-25
自己写的 winform
java连接LDAP的jar包和实例
04-09
Java连接LDAP(Lightweight Directory Access Protocol)是一种常见的任务,用于在分布式环境中管理和访问目录服务信息。这个主题涉及几个关键知识点,包括Java LDAP API、SSL安全连接以及如何通过代码操作LDAP目录...
如何使用LdapConnection 类 (1)链接 Ldap服务器
08-31 4879
C#提供了 LdapConnection 类用于连接Microsoft Active Directory 域服务或 LDAP 服务器的 TCP/IP 或 UDP LDAP 连接。  下面是连接 Ldap连接方法和大家分享下: Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeH
Net::LDAP
少点套路,多点诚意
05-24 972
LDAP version 3..可以查询基本资料、验证密码。 #!/usr/bin/perl use Net::LDAP; ## get a object of ldap $ldap = Net::LDAP->new("1.1.1.1", port =>"389", version => 3) or die "$@"; # object of Net::LDAP::Message $
.netLDAP集成
weixin_30888413的博客
03-18 316
每次开发系统都要单独设计权限,无数的系统就有了无数的权限。 其实很早就有了解决的办法,活动目录的技术可以实现。 微软的passport就想解决这样的问题,可惜,大部分的事情都是由商业决定的。 这次设计的系统就希望能把权限这部分交给Ldap来管理。 按照下面的方法在Windows Server 2003创建了Active Directory. ...
.NET 版 和 PYThon 操作LDAP
小倪粑粑的BLOG
12-23 415
PYThon 操作LDAP ,ldap操作
ldap/sldap
weixin_30692143的博客
04-25 462
给新建的账户赋权限也是通过修改配置文件/etc/openldap/slapd.conf来实现,具体的增加的内容如下: 如上面示例中就定义了两个用户,一个是只读用户cn=bbs,dc=361way,dc=com和一个可写用户cn=bbsadmin,dc=361way,dc=com 以及这两个用户对所列的字段、正则匹配的用户有相应的权限 。 # Personal LDAP address book...
Security LDAP and LDAPS
12-21
Ldap schemes: Ldap and ldaps Ldap authentication methods LDAP Simple Authentication Example: Simple Authentication over SSL layer SASL Authentication SASL Mechanisms Supported by LDAP Servers Digest-...
Spring Boot 连接LDAP的方法
08-28
Spring Boot 连接LDAP是实现LDAP增删改查操作的重要方法,本文将详细介绍Spring Boot 连接LDAP的方法,包括使用ODM快速实现LDAP增删改查操作、配置Spring LDAP连接信息、创建实体类作为LDAP中的entry映射等。...
如何使用VB.NET查询LDAP并显示域的全局地址列表
04-11
标题 "如何使用VB.NET查询LDAP并显示域的全局地址列表" 涉及到的是在Windows环境下使用Visual Basic .NET(VB.NET)编程语言与Lightweight Directory Access Protocol(LDAP)进行交互,以便获取并展示域的全局地址...
ldap4net:DotNet Core的OpenLdap端口(Linux \ OSX \ Windows)
02-05
ldap4net OpenLdap客户端库的跨平台端口( ) 和Windows Ldap( )到DotNet Core 帮助支持该项目: 对于Linux \ OSX,您必须确保已从安装了最新的OpenLDAP客户端库 它可与任何LDAP协议兼容的目录服务器(包括Microsoft Active Directory)一起使用。 所有平台上都支持无密码的身份验证(Kerberos)(在Linux \ OSX上支持的SASL GSSAPI(Kerberos)身份验证!)。 用法示例(Kerberos身份验证) using ( var cn = new LdapConnection
Springboot-LDAP针对AD域控做用户和组织进行同步.zip
06-02
在企业环境中,尤其是大型组织,AD作为Windows环境下的目录服务,广泛用于身份验证和权限管理。它包含了用户账户、组、计算机账户等对象,且支持复杂的组织结构。 Spring Boot与LDAP的整合,主要通过Spring ...
[OpenBMC] LDAP 设定(三) - LDAPS(LDAP over TLS)
yeiris的博客
01-29 4676
openbmc ldap设定和验证,能从以下几个方向来看 nss-pam-ldapd[OpenBMC] LDAP 设定(一) - nss-pam-ldapd LDAP server 架设 Redfish/Web设定[OpenBMC] LDAP 设定(二) - openldap 伺服架设与BMC的设定 LDAP over TLS 终于到了最后一个部分 LDAPS, 这部分我们会依序介绍 TLS的原理(这边会补充密码学基础) 非对称式加密 vs 对称式加密 数位签章 数位凭证 TLS握.
java windows ldap_LDAPS修改windowsActiveDirectory目录用户
weixin_39838231的博客
02-24 162
LDAPS修改windowsActiveDirectory目录用户分类:计算机等级|更新时间:2016-07-07|来源:转载在做OA系统时用到 OA系统用户要与Exchange 2007邮件服务器用户同步,以下是本人开发中的一些总结和步骤!A.以域用户登录到安装了证书服务的服务器中,导出计算机证书,1,通过administrato用户登陆到证书服务的服务器(我们用的Exchange 2007服务...
LDAP学习资料整理
arhaiyun的专栏
05-16 6181
LDAP中的objectClass与Attribute 初学LDAP时容易弄错的问题就是objectClass和Attribute之间的关系的,当时找过许多的中文资料都没有得到答案。最近终于彻底弄明白了这个问题,于是决定做个笔记。下面我会对照Java里面的一些概念来讲讲LDAP中的objectClass与Attribute,非常惊喜的是他们非常相似! LDAP中每一个Entry必须属于某一个o
Linux服务器Ldap安装及ldaps配置完整流程
justlpf的专栏
01-23 3820
参考文章:presto中ldaps配置完整流程 - letsfly - 博客园 无法以ldaps模式连接到openldap服务器-Java 学习之路
关于在.net环境下通过使用LDAP来访问AD,LDAPServer的一些问题?
weixin_30359021的博客
10-13 82
这种想法是能够实现的,但是具体怎么实现还没有试过,不知道有没有试过的,请留言!!!一起讨论讨论:)) 加qq:33175437 转载于:https://www.cnblogs.com/mengfan/archive/2004/10/13/51577.html...
ldaps 认证环境
smartresister的专栏
02-22 2336
前言: 一般提到SSL,都要证书,至少是服务器需要有证书。当热客户端在认证的时候,可以忽略是否认证服务器。 认证方法 1、ldap 简单密码 simple authortization port:389 2、基于SSLldap(ldaps) port:636 3、SASL simle authortization security layer 4、基...
ldap理论属于概念缩略词
weixin_33971130的博客
11-14 80
Standalone LDAP Daemon, slapd(standalone lightweight access protocol) ldap 389 default listener port ceph 6789Lightweight Directory Access ProtocolLDAP目录中信息 按树型结构组织具体信息存储在条目(entry)的数据结构中;条目相当于关系型数据库...
Ldap 如何升级到 Ldaps
最新发布
06-07
LDAP(轻型目录访问协议)是一种常见的网络协议,用于访问和维护分布式目录服务。而LDAPS是LDAP的安全版本,它使用SSL(安全套接字层)或TLS(传输层安全性)来加密LDAP通信,提供更高的安全性。要将LDAP升级到LDAPS,需要进行以下步骤: 1. 启用LDAP服务器上的SSL/TLS证书。 2. 在LDAP客户端上安装LDAP服务器的SSL/TLS证书。 3. 修改LDAP客户端的配置文件,以使用LDAPS协议连接LDAP服务器。 4. 将LDAP客户端连接字符串中的“ldap://”改为“ldaps://”。 请注意,要使用LDAPS协议,LDAP服务器和客户端都必须支持SSL/TLS加密,并且必须具有相应的证书。此外,使用LDAPS可能会影响LDAP服务器的性能,因为加密和解密数据需要更多的计算资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值