Ad域身份验证总结

最新推荐文章于 2023-06-06 12:25:16 发布
最新推荐文章于 2023-06-06 12:25:16 发布
阅读量1.4k 收藏 1
点赞数
文章标签: ldap 数据库 c#
原文链接:http://www.cnblogs.com/LuckZ/p/3700997.html
版权
活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。)Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。Microsoft Active Directory 服务是Windows 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。
人们经常将数据存储作为目录的代名词。目录包含了有关各种对象 [例如用户、用户组、计算机、域、组织单位(OU)以及安全策略]
的信息。这些信息可以被发布出来,以供用户和管理员的使用。目录存储在被称为域控制器的服务器上,并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制,而且所有的域控制器都拥有目录的一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息
实例操作:()

.Net提供了专用类操作AD,本文详细介绍使用C#操作AD的方法。(转自:http://www.cnblogs.com/dragonwlb/archive/2012/08/06/2625474.html)

一、系统环境

系统环境:Windows Server 2008 R2, VS2010, .Net Framework 4.0

AD Server:LDAP的server IP

基本DN:OU=user,DC=Company,DC=com

用来登录的管理员:Peter

密码:ab#CD%1234

二、程序

1.  引用

.Net操作AD的类在命名空间System.DirectoryServices下,需要将该类引用进来。

2.  连接

要操作AD需首先连接AD,就象要操作数据先要连接数据库一样。

复制代码 
/// <summary>
        /// 获得DirectoryEntry对象实例,以管理员登陆AD
        /// </summary>
        /// <returns></returns>
        private static DirectoryEntry GetDirectoryObject()
        {
            DirectoryEntry entry = null;
            try
            {
                entry = new DirectoryEntry("LDAP://10.10.10.16", "Peter", " ab#CD%1234", AuthenticationTypes.Secure);
            }
            catch (Exception ex)
            {
            }
            return entry;
        }
复制代码

3.  查询

根据各种条件获取具体的用户。下例为根据公共名称获取对象。

复制代码 
/// <summary>
        /// 根据用户公共名称取得用户的 对象
        /// </summary>
        /// <param name="commonName">用户公共名称</param>
        /// <returns>如果找到该用户则返回用户的对象,否则返回 null</returns>
        public static DirectoryEntry GetDirectoryEntry(string commonName)
        {
            DirectoryEntry de = GetDirectoryObject();
            DirectorySearcher deSearch = new DirectorySearcher(de);
            deSearch.Filter = "(&(&(objectCategory=person)(objectClass=user))(cn=" + commonName.Replace("\\", "") + "))";
            deSearch.SearchScope = SearchScope.Subtree;
            try
            {
                SearchResult result = deSearch.FindOne();
                de = new DirectoryEntry(result.Path);
                return de;
            }
            catch (Exception ex)
            {
                return null;
            }
        }
复制代码

 

4.  修改用户

修改查询到的Entity的值,修改后将修改记录保存到AD。注意有两种保存属性的方式。具体使用哪种请参考帮助。

1)       直接修改属性

2)       通过invoke来触发AD的内置函数

复制代码 
/// <summary>
        /// 修改查询到的用户
        /// </summary>
        /// <param name="CommonName">通用名(displayName,系统中显示的中文字)</param>
        /// <param name="Account">帐户名(如Peter)</param>
        /// <param name="organizeName">组织单元名(资讯中心)</param>
        /// <param name="password">密码</param>
        public static string ChangeADAccount(string CommonName, string Account, string password)
        {
            //获取对应AD实体
            DirectoryEntry user = GetDirectoryEntry( commonName);
            try
            {
                ADHelper.SetProperty(user, " sAMAccountName ", Account);
                user.Invoke("SetPassword", new object[] { password });
                user.CommitChanges();
            }
            catch (Exception e)
            {
                throw e;
            }
            return user.Path;
        }
 
/// <summary>
        /// 设置指定的属性值
        /// </summary>
        /// <param name="de"></param>
        /// <param name="propertyName">属性名称?</param>
        /// <param name="propertyValue">属性值</param>
        public static void SetProperty(DirectoryEntry de, string propertyName, string propertyValue)
        {
            if (de.Properties.Contains(propertyName))
            {
                if (String.IsNullOrEmpty(propertyValue))
                {
                    de.Properties[propertyName].RemoveAt(0);
                }
                else
                {
                    de.Properties[propertyName][0] = propertyValue;
                }
            }
            else
            {
                if (!String.IsNullOrEmpty(propertyValue))
                {
                    de.Properties[propertyName].Add(propertyValue);
                }
            }
        }
复制代码

 

5.  修改OU

1)  获取OU      

复制代码 
 DirectoryEntry OUEntry = new DirectoryEntry(GetOrganizeNamePath(OUName), "Peter", " ab#CD%1234", AuthenticationTypes.Secure);
        /// <summary>
        /// 获得OU的Path
        /// </summary>
        /// <param name="organizeUnit">OU名</param>
        /// <returns></returns>
        public static string GetOrganizeNamePath(string organizeUnit)
        {
            StringBuilder sb = new StringBuilder();
            sb.Append(ADPath);
            sb.Append("/");
            return sb.Append(SplitOrganizeNameToDN(organizeUnit)).ToString();
        }
复制代码

 

2)  修改OU项      

OUEntry.Rename("OU=" + newOUName);

        OUEntry.CommitChanges();

 

3)  删除OU      

DirectoryEntry OUParent = OUEntry.Parent;

        OUParent.Children.Remove(OUEntry);

        OUParent.CommitChanges();

 

6.  修改组

1)  获取组      

复制代码 
 /// <summary>
        /// 获取AD组
        /// </summary>
        /// <param name="groupName"></param>
        /// <param name="organizeUnit"></param>
        /// <returns></returns>
        public static DirectoryEntry GetADGroupInOU(string groupName, string organizeUnit)
        {
            if (!String.IsNullOrEmpty(groupName))
            {
                DirectoryEntry de = new DirectoryEntry(GetOrganizeNamePath(organizeUnit) , "Peter", " ab#CD%1234", AuthenticationTypes.Secure); ;
                DirectorySearcher deSearch = new DirectorySearcher(de);
                deSearch.Filter = "(&(objectClass=group)(cn=" + groupName.Replace("\\", "") + "))";
                deSearch.SearchScope = SearchScope.Subtree;
                try
                {
                    SearchResult result = deSearch.FindOne();
                    if (result != null)
                    {
                        de = new DirectoryEntry(result.Path, adminName, adminPassword);
                    }
                    else
                    {
                        return null;
                    }
                    return de;
                }
                catch (Exception ex)
                {
                    return null;
                }
            }
            else
            {
                return null;
            }
        }
复制代码

2)  管理组成员

group.Properties["member"].Add(user.Properties["distinguishedName"].Value);

group.Properties["member"].Remove(user.Properties["distinguishedName"].Value);

 

三、查看AD User属性结果

在程序中修改了User属性后我们要检验一下是否被修改了,有三种方式查看AD中User属性:

1.  Active Directory Users and Computers

打开Active Directory Users and Computers,选择一个用户,右键单击该用户选择属性显示如下图所示的属性页。在该属性页只能看到一些常用的属性。

2.  Exchange Management Console

打开Exchange Management Console,选择一个用户,右键单击该用户选择属性显示如下图所示的属性页。单击Customer Attributes按钮可以查看自定义的属性。

3.  adsiedit.msc

以上两种方式所看到的属性都不全,要看到所有属性需使用adsiedit.msc工具。

在运行窗口中输入adsiedit.msc后打开本工具。选择一个用户,右键单击该用户选择属性显示如下图所示的属性页。

转载于:https://www.cnblogs.com/LuckZ/p/3700997.html

18790970257
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
应用系统AD-及AD认证
xiaoli
03-26 3050
最近一个项目是一个统一银行系统OA的子系统,需求要求在用户及权限上通过应用系统的统一验证和授权平台UAAP来统一管理各个用户的角色及权限,采用AD验证用户及获取权限。并且要求本应用内也要采用内部验证,现对AD做一些记录: AD-- Active Directory活动目录,是windows server特有的信息管理形式。   AD验证可以简单的理解为验证,用户名/密码【用户凭据】放在一台
用户登录计算机ad认证过程,AD集中身份验证过程
weixin_39827798的博客
06-29 737
AD是一个集中身份验证的工作原理,DC也就是KDC,会知道所有的口令。环境如下:单test.com,DC计算机名为DC.test.com . A B C 三台成员,文件共享服务C 上面的安全选项里的以domain group做的权限控制,现在为什么会变成SID码,重启C以后,就工作正常了.但过了一段时间后,又会变成SID了呢?我想了解的是:1, 我们知道,ACL里对应的其实就是不同SID码的权...
java实现AD认证
02-22
java实现
AD验证
weixin_34343000的博客
05-10 314
2019独角兽企业重金招聘Python工程师标准>>> ...
认证流程
只有不断学习才不会被茫茫人海淹没!
04-05 5538
认证流程一、首先你必须知道的名词含义二、粗略流程三级目录 一、首先你必须知道的名词含义 DC: Domain Controller 控 KDC: Key Distribution Center 密钥分发中心 AD: Account Database 账户数据库 AS: Authentication Service 身份验证服务 TGS: Ticket Granting Service 票据授与服务 TGT: Ticket Granting Ticket 票据中心授予的票据 二、粗略
windows AD登录
01-03
总结,Windows AD登录涉及了网络身份验证、权限控制、资源配置等多个层面。理解和掌握AD服务对于任何Windows网络管理员来说都至关重要,它能够有效地提高工作效率,保证企业网络的安全和稳定。通过以上讨论,...
AD 批量增加用户
03-22
在IT管理领,Active Directory(AD是微软Windows网络环境中的核心组件,它负责用户身份验证、资源访问控制以及组织单位的管理。批量增加用户是AD管理中的常见任务,尤其是在大型企业或组织中,手动创建用户...
AD控制器功能介绍!
12-16
总结来说,AD控制器通过提供集中的管理、安全控制和资源分配,极大地提高了企业的IT管理效率和安全性。对于拥有大量网络设备和用户的企业来说,AD是不可或缺的基础架构组件。通过有效的配置和利用,企业可以更好...
AD、DNS分离+额外控制器安装-及主控制器损坏解决方法.doc
09-30
总结来说,AD、DNS分离和额外控制器的配置是为了提供一个高效、可靠的网络环境。理解这些概念和操作步骤对于管理Windows网络至关重要,特别是在处理主控制器故障时,能快速恢复服务,保证业务连续性。
kerberos认证过程,AD认证
06-12
Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过让A提供这个秘密来证明这个人就是他或她所声称的A。这个过程实际上涉及到3个重要的关于Authentication的方面: Secret如何表示。 A如何向B提供Secret。 B如何识别Secret。
ldapldap系列-java对ActiveDirectory的增删改查,包含加密密码字段:unicodePwd
bpm的专栏
03-12 691
公司有几千号员工,使用ldap管理人员账号,开发了一套ad的管理系统,方便人员入离职账号的统一管理、运维账号统一管理、单点登录管理、现将经生产环境运行稳定的代码放出,供大家参考,网上资料太少了,很多代码都用不了,基本一步一坑, 一些高级功能,可以加qq群:669293878 或微信:codearch讨论:例如ad密码(unicodePwd)修改、查询翻页,对ad的jdk免证书登录等。 本章是java对微软ActiveDirectory的增删改查操作,包含unicodePwd package.
nginx代理windowsAD认证 ntlm认证处理
weixin_44310246的博客
04-12 1897
于是我换个搜索引擎再搜搜,发现了大佬写的ntlm模块,只需要下载下来,然后解压,按说明添加模板,在upstream中加一个 ntlm;把keepalive_requests 设置为3,keepalive_timeout 设置为1,只能减少几率,但是并发上来,还是得凉,这肯定不允许啊。因为建立的是长连接,会导致2个或者多个用户同时认证时,可能会返回别人的信息,比如张三和李四同时认证,然后张三的电脑返回了李四的info,于是我又打开了搜索引擎(天晴了,雨停了,我觉得我又行了),搜索NTLM认证原理。
Windows和Linux混合系统通过AD实现用户集中认证
悦分享
12-02 2164
管理的Linux服务器和Windows服务器如果很多,如果都用本地用户名管理,要管理和记住几十台甚至上百台服务器的不同账号不同密码,这是很难的。但是如果所有服务器账号密码都设置一样,那又完全没有安全性可言。什么是服务器的集中认证(统一权限管理)?当服务器数量呈几何级增长之后,为每台机器维护单独的用户系统已经成为了一个几乎不可能完成的任务(试想下为一万台服务器上的每个用户每三个月修改一次密码)。
AD学习并使用Java接入AD验证
weixin_44762522的博客
06-06 4368
当然首先要说明是哪一棵树(dc,相当于MYSQL的DB),然后是从树根到那个苹果所经过的所有“分叉”(ou),最后就是这个苹果的名字(uid,相当于MySQL表主键id)。中包含着大量的对象,如:组织单位(Organizational Unit),组(Group),用户(User),计算机(Computer),联系人(Contact),打印机,安全策略等。AD用户是最小的管理单位,用户最容易管理又最难管理,如果赋予用户的权限过大,将带来安全隐患,如果权限过小用户无法正常工作。
AD是什么意思?有什么用?
行云管家
09-16 5418
我们都知道AD在企业内网中扮演了重要的角色,集身份验证和服务管理于一身。但很多少数人,不清楚AD是什么意思?AD有什么用?今天我们小编就跟大家一起聊聊。 AD是什么意思? AD是Windows网络中独立运行的单位,之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在之间的桥梁。两个之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的之间实现网络资源的共享与管理,以及相互通信和数据传输。 AD有什么用? 1、权限管理集中、
添加AD验证(身份验证)到现有网站
a977638248的博客
08-23 1225
每个网站几乎都会有用户登录的模块,登录就会涉及到身份验证的过程。通常的做法是在页面上有个登录的Form,然后根据用户名和密码数据库中去进行验证。 而验证后如何在网站的各个页面维持这种认证过的状态,有时需要自己去实现(通过cookie或者其他的方式)。 然而,asp.net提供了几种身份验证的机制,可以方便我们进行验证。其中常用的是Forms和Windows。目前的需求是在原有...
认证鉴权的几种方式
yangzhe19931117的博客
11-22 1092
认证鉴权的几种方式
记一次Java项目实现AD身份认证
天健行以自强不息,地势坤以厚德载物。
05-24 2421
记一次Java项目实现AD身份认证一、使用ldap实现AD身份认证二、使用ldaps实现AD身份认证1. java 导入可信任证书2. java通过ssl连接LDAP服务器 在项目中,由于新做的系统要求必要接入集团的AD,使用AD进行身份认证登录系统,经过查阅资料使用了以下几种方式进行认证机制。 一、使用ldap实现AD身份认证 ldap认证比较简单,使用Java自带API连接ldap服务器进行身份验证的,废话不多说直接上代码。 /** * 输入用户名和密码手动登陆验证AD账号密码
NETCore调用AD验证
最新发布
12-02
在.NET Core中调用AD验证,可以使用Novell.Directory.Ldap.NETStandard这个Nuget包。下面是一个演示代码,可以在控制台中验证一个AD账户: ```csharp using System; using Novell.Directory.Ldap; namespace NetCoreLdap { class Program { static void Main(string[] args) { string username = "james"; string password = "2wsx@WSX"; var loginFlag = LDAPUtil.Validate(username, password); if(loginFlag) { Console.WriteLine("User validate successfully!"); } else { Console.WriteLine("User validate unsuccessfully!"); } Console.ReadLine(); } } public class LDAPUtil { public static bool Validate(string username, string password) { try { using (var cn = new LdapConnection()) { cn.Connect("your.ad.server", 389); cn.Bind("your.ad.username", "your.ad.password"); var searchBase = "DC=your,DC=domain,DC=com"; var searchFilter = $"(&(objectClass=user)(sAMAccountName={username}))"; var result = cn.Search(searchBase, LdapConnection.SCOPE_SUB, searchFilter, null, false); var entry = result.Next(); if (entry != null) { cn.Bind(entry.DN, password); return true; } else { return false; } } } catch (Exception ex) { Console.WriteLine(ex.Message); return false; } } } } ``` 其中,`your.ad.server`是你的AD服务器地址,`your.ad.username`和`your.ad.password`是你的AD管理员账户和密码,`DC=your,DC=domain,DC=com`是你的AD的根节点,`(&(objectClass=user)(sAMAccountName={username}))`是搜索条件,用于查找指定用户名的用户。如果验证成功,返回true,否则返回false。 --相关问题--: 1. 如何在.NET Core中操作AD用户? 2. 如何在.NET Core中操作AD组?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值