- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
我们有一个使用 Active Directory 对我们的用户进行身份验证的 mvc 应用程序。我们正在利用 System.DirectoryServices
并使用 PricipalContext
进行身份验证:
_principalContext.ValidateCredentials(userName, pass, ContextOptions.SimpleBind);
然而,这个方法只返回一个 bool 值,我们希望返回更好的消息,甚至将用户重定向到密码重置屏幕,例如:
因此,如果用户登录失败,我们将调用 NetValidatePasswordPolicy
来查看用户无法登录的原因。这似乎工作正常,但我们意识到该方法仅返回 NET_API_STATUS .NERR_PasswordMustChange
无论 Active Directory 用户的状态如何。
我发现的具有相同问题的唯一示例来自 Sublime Speech 插件 here .我使用的代码如下:
var outputPointer = IntPtr.Zero;
var inputArgs = new NET_VALIDATE_PASSWORD_CHANGE_INPUT_ARG { PasswordMatched = false, UserAccountName = username };
inputArgs.ClearPassword = Marshal.StringToBSTR(password);
var inputPointer = IntPtr.Zero;
inputPointer = Marshal.AllocHGlobal(Marshal.SizeOf(inputArgs));
Marshal.StructureToPtr(inputArgs, inputPointer, false);
using (new ComImpersonator(adImpersonatingUserName, adImpersonatingDomainName, adImpersonatingPassword))
{
var status = NetValidatePasswordPolicy(serverName, IntPtr.Zero, NET_VALIDATE_PASSWORD_TYPE.NetValidateAuthentication, inputPointer, ref outputPointer);
if (status == NET_API_STATUS.NERR_Success)
{
var outputArgs = (NET_VALIDATE_OUTPUT_ARG)Marshal.PtrToStructure(outputPointer, typeof(NET_VALIDATE_OUTPUT_ARG));
return outputArgs.ValidationStatus;
}
else
{
//fail
}
}
代码总是成功,那么为什么无论 Active Directory 用户的状态如何,outputArgs.ValidationStatus
的值每次都是相同的结果?
最佳答案
我将把这个问题的答案分成三个不同的部分:
您的方法目前存在问题。
NetValidatePasswordPolicy
需要它的 InputArgs
参数接受一个指向结构的指针,你传入的结构取决于 ValidationType
你正在传递。在这种情况下,你正在传递 NET_VALIDATE_PASSWORD_TYPE.NetValidateAuthentication
,这需要 NET_VALIDATE_AUTHENTICATION_INPUT_ARG
的 InputArgs但你传递了一个指向 NET_VALIDATE_PASSWORD_CHANGE_INPUT_ARG
的指针.
此外,您正试图将“currentPassword”类型的值分配给 NET_VALIDATE_PASSWORD_CHANGE_INPUT_ARG
结构。
但是,NetValidatePasswordPolicy
的使用存在更大的根本问题。那就是您正在尝试使用此功能来验证 Active Directory 中的密码,但这不是它的用途。 NetValidatePasswordPolicy
用于允许应用程序根据应用程序提供的身份验证数据库进行验证。
关于 NetValidatePasswordPolicy
的更多信息here .
在线和本线程中推荐解决方案的问题
网上各种文章推荐使用LogonUser
在 AdvApi32.dll
中找到的函数但是这个实现有它自己的一系列问题:
第一个是LogonUser
针对本地缓存进行验证,这意味着您不会立即获得有关该帐户的准确信息,除非您使用“网络”模式。
第二个是使用LogonUser
在 Web 应用程序上,在我看来有点 hacky,因为它是为在客户端计算机上运行的桌面应用程序设计的。但是,考虑到 Microsoft 提供的限制 LogonUser
给出了预期的结果,我不明白为什么不应该使用它 - 除非存在缓存问题。
LogonUser
的另一个问题是它对您的用例的效果取决于您的服务器的配置方式,例如:需要在您要验证的域上启用一些特定的权限,这些权限需要到位才能进行“网络”登录打字上类。
关于 LogonUser
的更多信息here .
此外,GetLastError()
不应使用,GetLastWin32Error()
应该改用,因为使用 GetLastError()
不安全.
关于 GetLastWin32Error()
的更多信息here .
解决方案。
为了从 Active Directory 中获得准确的错误代码,没有任何缓存问题并直接从目录服务中获取,这是需要做的:当帐户出现问题时,依赖从 AD 返回的 COMException,因为最终, errors 就是你要找的。
首先,以下是在验证当前用户名和密码时如何从 Active Directory 触发错误:
public LdapBindAuthenticationErrors AuthenticateUser(string domain, string username, string password, string ouString)
{
// The path (ouString) should not include the user in the directory, otherwise this will always return true
DirectoryEntry entry = new DirectoryEntry(ouString, username, password);
try
{
// Bind to the native object, this forces authentication.
var obj = entry.NativeObject;
var search = new DirectorySearcher(entry) { Filter = string.Format("({0}={1})", ActiveDirectoryStringConstants.SamAccountName, username) };
search.PropertiesToLoad.Add("cn");
SearchResult result = search.FindOne();
if (result != null)
{
return LdapBindAuthenticationErrors.OK;
}
}
catch (DirectoryServicesCOMException c)
{
LdapBindAuthenticationErrors ldapBindAuthenticationError = -1;
// These LDAP bind error codes are found in the "data" piece (string) of the extended error message we are evaluating, so we use regex to pull that string
if (Regex.Match(c.ExtendedErrorMessage, @" data (?<ldapBindAuthenticationError>[a-f0-9]+),").Success)
{
string errorHexadecimal = match.Groups["ldapBindAuthenticationError"].Value;
ldapBindAuthenticationError = (LdapBindAuthenticationErrors)Convert.ToInt32(errorHexadecimal , 16);
return ldapBindAuthenticationError;
}
catch (Exception e)
{
throw;
}
}
return LdapBindAuthenticationErrors.ERROR_LOGON_FAILURE;
}
这些是您的“LdapBindAuthenticationErrors”,您可以在 MSDN 中找到更多信息,here .
internal enum LdapBindAuthenticationErrors
{
OK = 0
ERROR_INVALID_PASSWORD = 0x56,
ERROR_PASSWORD_RESTRICTION = 0x52D,
ERROR_LOGON_FAILURE = 0x52e,
ERROR_ACCOUNT_RESTRICTION = 0x52f,
ERROR_INVALID_LOGON_HOURS = 0x530,
ERROR_PASSWORD_EXPIRED = 0x532,
ERROR_ACCOUNT_DISABLED = 0x533,
ERROR_ACCOUNT_EXPIRED = 0x701,
ERROR_PASSWORD_MUST_CHANGE = 0x773,
ERROR_ACCOUNT_LOCKED_OUT = 0x775
}
然后您可以使用此枚举的返回类型并在您的 Controller 中使用它执行您需要的操作。需要注意的重要一点是,您正在寻找 COMException
的“扩展错误消息”中字符串的“数据”部分。因为它包含您正在寻找的全能错误代码。
祝你好运,我希望这对你有所帮助。我对其进行了测试,它非常适合我。
关于c# - 从 C# 调用 NetValidatePasswordPolicy 总是返回 Password Must Change,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28614779/
为了让我的代码几乎完全用 Jquery 编写,我想用 Jquery 重写 AJAX 调用。 这是从网页到 Tomcat servlet 的调用。 我目前情况的类似代码: var http = new
我想使用 JNI 从 Java 调用 C 函数。在 C 函数中,我想创建一个 JVM 并调用一些 Java 对象。当我尝试创建 JVM 时,JNI_CreateJavaVM 返回 -1。 所以,我想知
环顾四周,我发现从 HTML 调用 Javascript 函数的最佳方法是将函数本身放在 HTML 中,而不是外部 Javascript 文件。所以我一直在网上四处寻找,找到了一些简短的教程,我可以根
我有这个组件: import {Component} from 'angular2/core'; import {UserServices} from '../services/UserService
我正在尝试用 C 实现一个简单的 OpenSSL 客户端/服务器模型,并且对 BIO_* 调用的使用感到好奇,与原始 SSL_* 调用相比,它允许一些不错的功能。 我对此比较陌生,所以我可能会完全错误
我正在处理有关异步调用的难题: 一个 JQuery 函数在用户点击时执行,然后调用一个 php 文件来检查用户输入是否与数据库中已有的信息重叠。如果是这样,则应提示用户确认是否要继续或取消,如果他单击
我有以下类(class)。 public Task { public static Task getInstance(String taskName) { return new
嘿,我正在构建一个小游戏,我正在通过制作一个数字 vector 来创建关卡,该数字 vector 通过枚举与 1-4 种颜色相关联。问题是循环(在 Simon::loadChallenge 中)我将颜
我有一个java spring boot api(数据接收器),客户端调用它来保存一些数据。一旦我完成了数据的持久化,我想进行另一个 api 调用(应该处理持久化的数据 - 数据聚合器),它应该自行异
首先,这涉及桌面应用程序而不是 ASP .Net 应用程序。 我已经为我的项目添加了一个 Web 引用,并构建了各种数据对象,例如 PayerInfo、Address 和 CreditCard。但问题
我如何告诉 FAKE 编译 .fs文件使用 fsc ? 解释如何传递参数的奖励积分,如 -a和 -target:dll . 编辑:我应该澄清一下,我正在尝试在没有 MSBuild/xbuild/.sl
我使用下划线模板配置了一个简单的主干模型和 View 。两个单独的 API 使用完全相同的配置。 API 1 按预期工作。 要重现该问题,请注释掉 API 1 的 URL,并取消注释 API 2 的
我不确定什么是更好的做法或更现实的做法。我希望从头开始创建目录系统,但不确定最佳方法是什么。 我想我在需要显示信息时使用对象,例如 info.php?id=100。有这样的代码用于显示 Game.cl
from datetime import timedelta class A: def __abs__(self): return -self class B1(A):
我在操作此生命游戏示例代码中的数组时遇到问题。 情况: “生命游戏”是约翰·康威发明的一种细胞自动化技术。它由一个细胞网格组成,这些细胞可以根据数学规则生存/死亡/繁殖。该网格中的活细胞和死细胞通过
如果我像这样调用 read() 来读取文件: unsigned char buf[512]; memset(buf, 0, sizeof(unsigned char) * 512); int fd;
我用 C 编写了一个简单的服务器,并希望调用它的功能与调用其他 C 守护程序的功能相同(例如使用 ./ftpd start 调用它并使用 ./ftpd stop 关闭该实例)。显然我遇到的问题是我不知
在 dos 中,当我粘贴此命令时它会起作用: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" https://google.
在 dos 中,当我粘贴此命令时它会起作用: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" https://google.
我希望能够从 cmd 在我的 Windows 10 计算机上调用 python3。 我已重新安装 Python3.7 以确保选择“添加到路径”选项,但仍无法调用 python3 并使 CMD 启动 P
我是一名优秀的程序员,十分优秀!