近期研究.NET环境下连接Ldap和Ldaps(ldap over ssl)的一些收获

最新推荐文章于 2023-11-21 11:07:37 发布
最新推荐文章于 2023-11-21 11:07:37 发布
阅读量4.1k 收藏 7
点赞数 2
分类专栏: ldap 文章标签: ldap ldaps ldap ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZZDMDZZ/article/details/85245530
版权

最近一个项目,客户需要使用AD域进行统一登录认证。就一直在研究LDAP的研究,虽然不是什么新技术,但是网上的资料都比较杂。并且用户方面提供的信息也很乱。所以这段时间很煎熬。
简单说一下个人对ldap的理解,我认为ldap服务器就是一个存放用户信息的服务器。这个“服务器”有两种端口389和636。389端口属于开放端口(个人理解,可能不准确),网上的大多数方式都是连接这个端口。636端口属于加密端口。需要使用安全证书在SSL的基础上通信。
389端口的代码也比较简单,并且百度一搜有一大堆

//using System.DirectoryServices;
		public string CheckLogin(string UserName, string Password)
        {
            entry = new DirectoryEntry("LDAP://IP或域名:389(不写默认389)", @"管理员DN", @"管理员密码", AuthenticationTypes.None);
            try
            {
                object native = entry.NativeObject;
                DirectorySearcher searcher = new DirectorySearcher(entry);
                searcher.Filter = @"(name=" + UserName + ")";
                searcher.PropertiesToLoad.Add("samAccountName");
                searcher.PropertiesToLoad.Add("name");
                searcher.PropertiesToLoad.Add("userPrincipalName");
                SearchResult ret = searcher.FindOne();//查询单个用户
                //SearchResultCollection results = searcher.FindAll();//查询全部 可以配合for循环 遍历树
                //foreach (SearchResult ret in results)
                // {
                if (ret == null)
                {
                    return "未找到用户";
                }
                string strPath = ret.Path;
                int nIndex = strPath.LastIndexOf("/");
                strPath = strPath.Substring(nIndex + 1, strPath.Length - nIndex - 1);
                entry = new DirectoryEntry(ret.Path, strPath, Password, AuthenticationTypes.None);
                try
                {
                    object native1 = entry.NativeObject;//存在验证

                    ResultPropertyCollection prop = ret.Properties;//用户信息
                    string UID = prop["samAccountName"][0].ToString();
                    string UName = prop["name"][0].ToString();
                    string Email = prop["userPrincipalName"][0].ToString();
                    return "登录成功";
                }
                catch (Exception e)
                {
                    return e.Message;
                }
            }
            catch (Exception e)
            {
                return e.Message;
            }
            // return false;
        }

正常来说,一般的到这里就可以了。用户的存在验证、登录验证和树都能拿到。
但是,如果要求安全等级高的话就不行了,需要连接636端口,使用安全证书和SSL进行通讯。上面的代码我没有找到怎么使用SSL登录和证书验证。所以使用了下面的方法

//using System.DirectoryServices.Protocols;
//using System.Net;
		public string CheckLogin636(string UserName, string Password)
        {
            var host = "IP或域名:636"; 
            var baseDN = "baseDN";
            var adminName = @"用户DN";
            var adminPass = @"用户密码";// "管理密码";
            var identifier = new LdapDirectoryIdentifier(host);
            var conn = new LdapConnection(identifier, new NetworkCredential
            {
                UserName = adminName,
                Password = adminPass
            });
            conn.SessionOptions.SecureSocketLayer = true;//开启使用ssl
            conn.SessionOptions.VerifyServerCertificate = new VerifyServerCertificateCallback(ServerCallback);// 信任服务器是可以默认返回true:+= delegate { return true; };
            conn.AuthType = AuthType.Basic;
            conn.Bind();//这里不报错就是连接成功
            var request = new SearchRequest(baseDN, "(userPrincipalName=" + UserName + ")", System.DirectoryServices.Protocols.SearchScope.Subtree);
            SearchResponse response = conn.SendRequest(request) as SearchResponse;
            if (response.Entries != null && response.Entries.Count > 0)
            {
                //这里就表示 用户存在
                try
                {
                    var connUser = new LdapConnection(identifier, new NetworkCredential
                    {
                        UserName = response.Entries[0].DistinguishedName,
                        Password = Password
                    });
                    connUser.SessionOptions.SecureSocketLayer = true;
                    connUser.SessionOptions.VerifyServerCertificate = new VerifyServerCertificateCallback(ServerCallback);// 信任服务器是可以默认返回true:+= delegate { return true; };
                    connUser.AuthType = AuthType.Basic;
                    connUser.Bind();//这里不报错就是 验证登录成功
                    var attr = response.Entries[0].Attributes;//用户信息
                    string UID = attr["samAccountName"][0].ToString();
                    string UName = attr["name"][0].ToString();
                    string Email = attr["userPrincipalName"][0].ToString();
                    connUser.Dispose();
                    conn.Dispose();
                    return  "登录成功";
                }
                catch (Exception e)
                {
                    conn.Dispose();
                    if (e.Message == "The supplied credential is invalid.")
                    {
                        return "用户名或密码不正确";
                    }
                    else
                    {
                        return e.Message;
                    }
                }
            }
            else
            {
                conn.Dispose();
                return "未找到用户";
            }
        }

下面是验证证书的代码,但我验证的是一直不通过。不知道是代码的问题还是测试环境的问题。仅供参考。或者你有更好的验证方法。欢迎留言指教。

   public static bool ServerCallback(LdapConnection connection, X509Certificate certificate)
        {
            try
            {
                X509Certificate expectedCert =X509Certificate.CreateFromCertFile("证书路径");
                if (expectedCert.Equals(certificate))
                {
                    Console.WriteLine("验证成功");
                    return true;
                }
                else
                 {
                    Console.WriteLine("验证失败");
                    return false;
                }
            }
            catch (Exception ex)
            {

                Console.WriteLine("验证错误"+ex.Message);
                return false;
            }
        }

总结一点就是,一定要让客户把连接信息给清楚,确认无误。。。
以上信息学习至:
https://www.cnblogs.com/rangeon/p/7132481.html
https://www.cnblogs.com/netact/p/5742244.html
https://www.orcode.com/article/Hardware_20125929.html
基本上就这么些。文笔不好,经验不足。如果有出错或者需要改进的地方,还请不吝赐教。

ZZDMDZZ
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#.NET LDAPSearch
06-25
自己写的 winform
Security LDAP and LDAPS
12-21
Ldap schemes: Ldap and ldaps Ldap authentication methods LDAP Simple Authentication Example: Simple Authentication over SSL layer SASL Authentication SASL Mechanisms Supported by LDAP Servers Digest-...
如何使用LdapConnection 类 (1)链接 Ldap服务器
08-31 4897
C#提供了 LdapConnection 类用于连接Microsoft Active Directory 域服务或 LDAP 服务器的 TCP/IP 或 UDP LDAP 连接。  下面是连接 Ldap连接方法和大家分享下: Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeH
Net::LDAP
少点套路,多点诚意
05-24 973
LDAP version 3..可以查询基本资料、验证密码。 #!/usr/bin/perl use Net::LDAP; ## get a object of ldap $ldap = Net::LDAP->new("1.1.1.1", port =>"389", version => 3) or die "$@"; # object of Net::LDAP::Message $
.netLDAP集成
weixin_30888413的博客
03-18 317
每次开发系统都要单独设计权限,无数的系统就有了无数的权限。 其实很早就有了解决的办法,活动目录的技术可以实现。 微软的passport就想解决这样的问题,可惜,大部分的事情都是由商业决定的。 这次设计的系统就希望能把权限这部分交给Ldap来管理。 按照下面的方法在Windows Server 2003创建了Active Directory. ...
net core操作 LDAP
chiji5086的博客
07-11 1475
在windows下,使用目录服务DirectoryEnty相关的类,可以访问,但是core中,虽然找到这个类了,但它的属性不对,似乎不是同一个库。 后百度到Novell.Directory.Ldap,可以使用,也支持微软的AD: “LDAP client library for .NET...
.NET 版 和 PYThon 操作LDAP
小倪粑粑的BLOG
12-23 415
PYThon 操作LDAP ,ldap操作
LDAP加密访问AD(overssl)(LDAPS )C++
05-17
在安全通信方面,LDAP over SSLLDAPS)提供了一种加密的连接方式,以保护数据传输过程中的隐私和完整性。本文将详细介绍如何在C++环境中,通过LDAPS协议与Active Directory(AD)服务器建立安全连接,并忽略证书...
Ldap客户端.zip
06-13
更高级的安全实践包括使用LDAPSLDAP over SSL/TLS)和SASL(Simple Authentication and Security Layer)进行身份验证。 **应用场景** LDAP广泛应用于企业环境,如用户身份验证和授权、邮件系统的地址簿服务、...
LDAP查看工具
09-12
2. **端口**:默认情况下,LDAP通信使用389端口,而SSL加密的LDAPSLDAP over SSL)通常使用636端口。根据你的网络设置,你可能需要指定正确的端口号。 3. **基DN(Distinguished Name)**:这是你的目录树的根节点...
ldap4net:DotNet Core的OpenLdap端口(Linux \ OSX \ Windows)
02-05
ldap4net OpenLdap客户端库的跨平台端口( ) 和Windows Ldap( )到DotNet Core 帮助支持该项目: 对于Linux \ OSX,您必须确保已从安装了最新的OpenLDAP客户端库 它可与任何LDAP协议兼容的目录服务器(包括Microsoft Active Directory)一起使用。 所有平台上都支持无密码的身份验证(Kerberos)(在Linux \ OSX上支持的SASL GSSAPI(Kerberos)身份验证!)。 用法示例(Kerberos身份验证) using ( var cn = new LdapConnection
java操作LDAP的架包
10-13
这可以通过使用SSL/TLS连接实现,或者在服务器上启用LDAPSLDAP over SSL)。 8. LDAP目录结构: LDAP目录由树形结构组成,每个节点称为条目,具有唯一的DN。条目可以有多个属性,每个属性都有一个或多个值。理解...
NetScaler的部署实验之六更新NetScaler配置LDAP用户身份验证
weixin_34221332的博客
09-21 191
关于LDAP的内容之所以要写在NetScaler Gateway的配置过程之前,是因为NetScaler Gateway需要LDAP来对用户进行身份验证。如果没有配置这些信息,用户是无法在NetScaler Gateway上面进行身份验证的,后续的获取应用与桌面也就无从谈起了。 而且,NetScaler在10.5的版本历史中还出现过无法通过LDAP验证登录GUI界面的BUG(...
ldap/sldap
weixin_30692143的博客
04-25 463
给新建的账户赋权限也是通过修改配置文件/etc/openldap/slapd.conf来实现,具体的增加的内容如下: 如上面示例中就定义了两个用户,一个是只读用户cn=bbs,dc=361way,dc=com和一个可写用户cn=bbsadmin,dc=361way,dc=com 以及这两个用户对所列的字段、正则匹配的用户有相应的权限 。 # Personal LDAP address book...
LDAP配置与安装
最新发布
mandarin_meng的博客
11-21 1537
LDAP的原理知识参考:https://www.cnblogs.com/wilburxu/p/9174353.html。修改Apache的端口!url: http://服务器地址:端口/phpldapadmin/5.3. 修改{-1}frontend.ldif文件。5.3. 修改{-1}frontend.ldif文件。5.2. 修改{1}monitor.ldif文件。5.2. 修改{1}monitor.ldif文件。7、修改LDAP文件权限、端口(不强求)7、修改LDAP文件权限、端口(不强求)
[OpenBMC] LDAP 设定(三) - LDAPS(LDAP over TLS)
yeiris的博客
01-29 4732
openbmc ldap设定和验证,能从以下几个方向来看 nss-pam-ldapd[OpenBMC] LDAP 设定(一) - nss-pam-ldapd LDAP server 架设 Redfish/Web设定[OpenBMC] LDAP 设定(二) - openldap 伺服架设与BMC的设定 LDAP over TLS 终于到了最后一个部分 LDAPS, 这部分我们会依序介绍 TLS的原理(这边会补充密码学基础) 非对称式加密 vs 对称式加密 数位签章 数位凭证 TLS握.
java windows ldap_LDAPS修改windowsActiveDirectory目录用户
weixin_39838231的博客
02-24 162
LDAPS修改windowsActiveDirectory目录用户分类:计算机等级|更新时间:2016-07-07|来源:转载在做OA系统时用到 OA系统用户要与Exchange 2007邮件服务器用户同步,以下是本人开发中的一些总结和步骤!A.以域用户登录到安装了证书服务的服务器中,导出计算机证书,1,通过administrato用户登陆到证书服务的服务器(我们用的Exchange 2007服务...
LDAP学习资料整理
arhaiyun的专栏
05-16 6184
LDAP中的objectClass与Attribute 初学LDAP时容易弄错的问题就是objectClass和Attribute之间的关系的,当时找过许多的中文资料都没有得到答案。最近终于彻底弄明白了这个问题,于是决定做个笔记。下面我会对照Java里面的一些概念来讲讲LDAP中的objectClass与Attribute,非常惊喜的是他们非常相似! LDAP中每一个Entry必须属于某一个o
Linux服务器Ldap安装及ldaps配置完整流程
justlpf的专栏
01-23 3913
参考文章:presto中ldaps配置完整流程 - letsfly - 博客园 无法以ldaps模式连接到openldap服务器-Java 学习之路
大数据环境下的LDAP集成与安全服务搭建指南
"该文档是关于大数据组件集成LDAP的安装手册,旨在帮助用户快速构建一个安全的大数据环境。文中详细介绍了如何安装和配置LDAP、Kerberos以及与Ambari和Ranger的集成步骤。" 在大数据环境中,LDAP(Lightweight ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值