c# - 如何在使用 WCF 服务的 WPF 应用程序中集成 LDAP

Question

我将首先描述我的应用程序今天在没有 LDAP 的情况下是如何工作的。
我有使用 WCF 服务的 WPF 应用程序(身份验证 windows 或 用户名 取决于用户的选择)。该服务允许与数据库通信。

我向用户显示“登录屏幕”以允许他设置她的“用户名”和“密码”，然后应用程序连接到服务并使用检查数据库中是否存在用户名和密码的功能。 (见下图)


现在我还需要集成 LDAP 以针对现有系统验证用户帐户，而不必创建另一个登录帐户。

我对 LDAP 有点无知，对很多事情感到困惑。请原谅可能使用错误的术语。

我用谷歌搜索，但我仍然没有很多问题的答案。

1-我的数据库表“用户”中存在的用户与我应该在 LDAP 中创建的配置文件之间有什么关系？

2-我应该做什么检查以允许来自 LDAP 的用户访问我的应用程序并使用我的服务的所有功能？

3- 我是否应该像我今天在我的应用程序中拥有的其他身份验证类型一样拥有服务类型“LDAP”(“Windows”和“用户名”)？

4- 如果我想更新上图中描述的应用程序架构，我应该在哪里添加 LDAP？

Answer 1

首先，我将一一回答您的问题，

LDAP 上的用户在 DB 上是相同的，您可以在用户表中保存 LDAP 的用户名及其域，
但 LDAP 上的配置文件可能会因您的配置文件表而异，但可以从 LDAP 地址获取。

通过 LDAP 检查用户名和密码就足够了，只需要在表中保存 LDAP 地址(例如 ExternalPath)并在 User 和 ExternalPath 表之间建立关系。 LDAP 地址包含一些规范。

是的，您必须有一个单独的机制来识别 LDAP 用户，我将进一步解释。

如果一切都是原子的并且设计正确，这并不难，在进一步的步骤中，您可能会发现它很容易。

所以让我谈谈我在 LDAP 方面的经验，并在 LDAP 和 DB 上验证用户以及我们的架构。

我实现了一个名为 Auth.svc 的 WCF 服务，此服务包含一个名为 AuthenticateAndAuthorizeUser 的方法这对于来自 LDAP 或任何地方的用户是透明的。

我希望您在以下步骤中获得通过 LDAP 和 DB 对用户进行身份验证的线索和体系结构:

1- 首先，我有一个名为 Users 的表其中包含用户信息和另一个名为 ExternalPath 的字段作为外键，如果它为空，则指定用户名在数据库中，它是密码，否则它来自 UserDirectory .

2- 在第二步中，您必须保存 LDAP 地址(在我的情况下，LDAP 地址在 ExternalPath 表中)，所有 LDAP 地址都在端口 389 上通常。

3- 实现认证用户，如果未找到(使用用户名和密码)，则检查它是 ExternalPath通过 LDAP 地址进行验证。

4- 数据库架构应该类似于下面的屏幕截图。



如您所见 ExternalPath字段指定用户是否来自 LDAP。

5- 在表示层中，我也在定义 LDAP 服务器，如下图所示



6- 另一方面，在系统中添加新用户时，您可以在我的情况下为用户定义 LDAP 我在添加用户表单的下拉列表中列出 LDAP 标题( 如果管理员选择 LDAP 地址，则不需要获取密码并保存它在 DB 中)，正如我提到的，只需要保存 LDAP 用户名而不是密码。

7- 但最后一件事是在 LDAP 和 DB 上验证用户。

所以认证方法是这样的:

User userLogin = User.Login<User>(username, password, ConnectionString, LogFile);
if (userLogin != null)
    return InitiateToken(userLogin, sourceApp, sourceAddress, userIpAddress);
else//Check it's LDAP path
{
    User user = new User(ConnectionString, LogFile).GetUser(username);
    if (user != null && user.ExternalPath != null)
    {
        LDAPSpecification spec = new LDAPSpecification
        {
            UserName = username,
            Password = password,
            Path = user.ExternalPath.Path,
            Domain = user.ExternalPath.Domain
        };
        bool isAthenticatedOnLDAP = LDAPAuthenticateUser(spec);

    }
}

如果 userLogin通过输入的用户名和密码在数据库中不存在，那么我们应该通过相关的 LDAP 地址对其进行身份验证。

在 else阻止从用户表中查找用户并获取它的 ExternalPath如果此字段不为空，则表示用户在 LDAP 上。

8- LDAPAuthenticateUser方法是:

public bool LDAPAuthenticateUser(LDAPSpecification spec)
{
    string pathDomain = string.Format("LDAP://{0}", spec.Path);
    if (!string.IsNullOrEmpty(spec.Domain))
        pathDomain += string.Format("/{0}", spec.Domain);
    DirectoryEntry entry = new DirectoryEntry(pathDomain, spec.UserName, spec.Password, AuthenticationTypes.Secure);
    try
    {
        //Bind to the native AdsObject to force authentication.
        object obj = entry.NativeObject;
        DirectorySearcher search = new DirectorySearcher(entry);

        search.Filter = "(SAMAccountName=" + spec.UserName + ")";
        search.PropertiesToLoad.Add("cn");
        SearchResult result = search.FindOne();
        if (null == result)
        {
            return false;
        }
    }
    catch (Exception ex)
    {
        Logging.Log(LoggingMode.Error, "Error authenticating user on LDAP , PATH:{0} , UserName:{1}, EXP:{2}", pathDomain, spec.UserName, ex.ToString());
        return false;
    }
    return true;
}

如果在 LDAPAuthenticateUser 中引发异常表示用户在用户目录中不存在。

身份验证代码接受域、用户名、密码和 Active Directory 中树的路径。

上述代码使用 LDAP 目录提供程序，身份验证方法调用 LDAPAuthenticateUser并传入从用户那里收集的凭据。然后，使用目录树的路径、用户名和密码创建一个 DirectoryEntry 对象。 DirectoryEntry对象试图强制 AdsObject通过获取 NativeObject 进行绑定(bind)属性(property)。如果成功， CN通过创建 DirectorySearcher 获得用户的属性对象并通过过滤 SAMAccountName .在用户通过身份验证并且未发生异常后，方法返回 true 表示用户在给定的 LDAP 地址上找到。

要查看有关轻量级目录访问协议(protocol)的更多信息并对其进行身份验证 THIS Link可能很有用，它可以更多地说明规范。

希望能帮到你。