针对 Active Directory 验证用户名和密码？

C

Community

如果您使用 .NET 3.5 或更高版本，则可以使用 System.DirectoryServices.AccountManagement 命名空间并轻松验证您的凭据：

// create a "principal context" - e.g. your domain (could be machine, too)
using(PrincipalContext pc = new PrincipalContext(ContextType.Domain, "YOURDOMAIN"))
{
    // validate the credentials
    bool isValid = pc.ValidateCredentials("myuser", "mypassword");
}

它很简单，很可靠，它是 100% 的 C# 托管代码 - 您还能要求什么？ :-)

在这里阅读所有相关信息：

在 .NET Framework 3.5 中管理目录安全主体

System.DirectoryServices.AccountManagement 上的 MSDN 文档

更新：

如 this other SO question (and its answers) 中所述，此调用存在问题，可能会为用户的旧密码返回 True。请注意这种行为，如果发生这种情况不要太惊讶:-)（感谢@MikeGledhill 指出这一点！）

在我的域中，我必须指定 pc.ValidateCredentials("myuser", "mypassword", ContextOptions.Negotiate) 否则我会得到 System.DirectoryServices.Protocols.DirectoryOperationException: The server cannot handle directory requests。

如果密码过期或帐户被禁用，则 ValidateCredentials 将返回 false。不幸的是，它没有告诉你为什么它返回 false（这很遗憾，因为这意味着我不能做一些明智的事情，比如重定向用户以更改他们的密码）。

还要注意“Guest”帐户——如果启用了域级别的 Guest 帐户，如果您给它一个 不存在 用户，则 ValidateCredentials 会返回 true。因此，您可能需要先调用 UserPrinciple.FindByIdentity 来查看传入的用户 ID 是否存在。

@AlexPeck：您必须这样做（像我一样）的原因是 .NET 默认使用以下技术：LDAP+SSL、Kerberos，然后是 RPC。我怀疑 RPC 在您的网络中已关闭（很好！）并且 Kerberos 实际上并没有被 .NET 使用，除非您使用 ContextOptions.Negotiate 明确告诉它。

请注意，如果用户更改了他们的 Active Directory 密码，这段代码将继续愉快地使用他们的旧 AD 密码对用户进行身份验证。是的，真的。在这里阅读：stackoverflow.com/questions/8949501/…

C

Community

我们在 Intranet 上执行此操作

您必须使用 System.DirectoryServices；

这是代码的胆量

using (DirectoryEntry adsEntry = new DirectoryEntry(path, strAccountId, strPassword))
{
    using (DirectorySearcher adsSearcher = new DirectorySearcher(adsEntry))
    {
        //adsSearcher.Filter = "(&(objectClass=user)(objectCategory=person))";
        adsSearcher.Filter = "(sAMAccountName=" + strAccountId + ")";

        try
        {
            SearchResult adsSearchResult = adsSearcher.FindOne();
            bSucceeded = true;

            strAuthenticatedBy = "Active Directory";
            strError = "User has been authenticated by Active Directory.";
        }
        catch (Exception ex)
        {
            // Failed to authenticate. Most likely it is caused by unknown user
            // id or bad strPassword.
            strError = ex.Message;
        }
        finally
        {
            adsEntry.Close();
        }
    }
}

你在“路径”中放了什么？域名的名称？服务器的名字？域的 LDAP 路径？服务器的 LDAP 路径？

答案 1：不，我们将它作为 Web 服务运行，因此可以从主 Web 应用程序中的多个位置调用它。答案 2：路径包含 LDAP 信息... LDAP://DC=domainname1,DC=domainname2,DC=com

看起来这可能允许 LDAP 注入。您可能需要确保转义或删除 strAccountId 中的任何括号

这是否意味着 strPassword 以纯文本形式存储在 LDAP 中？

永远不需要对 using 变量显式调用 Close()。

c

codechurn

这里介绍的几种解决方案无法区分错误的用户/密码和需要更改的密码。这可以通过以下方式完成：

using System;
using System.DirectoryServices.Protocols;
using System.Net;

namespace ProtocolTest
{
    class Program
    {
        static void Main(string[] args)
        {
            try
            {
                LdapConnection connection = new LdapConnection("ldap.fabrikam.com");
                NetworkCredential credential = new NetworkCredential("user", "password");
                connection.Credential = credential;
                connection.Bind();
                Console.WriteLine("logged in");
            }
            catch (LdapException lexc)
            {
                String error = lexc.ServerErrorMessage;
                Console.WriteLine(lexc);
            }
            catch (Exception exc)
            {
                Console.WriteLine(exc);
            }
        }
    }
}

如果用户密码错误，或者用户不存在，错误将包含

“8009030C：LdapErr：DSID-0C0904DC，注释：AcceptSecurityContext 错误，数据 52e，v1db1”，

如果需要更改用户密码，它将包含

“8009030C：LdapErr：DSID-0C0904DC，注释：AcceptSecurityContext 错误，数据 773，v1db1”

lexc.ServerErrorMessage 数据值是 Win32 错误代码的十六进制表示。这些错误代码与调用 Win32 LogonUser API 调用返回的错误代码相同。下面的列表总结了一系列具有十六进制和十进制值的常用值：

525 user not found (1317)
52e invalid credentials (1326)
530 not permitted to logon at this time (1328)
531 not permitted to logon at this workstation (1329)
532 password expired (1330)
533 account disabled (1331) 
701 account expired (1793)
773 user must reset password (1907)
775 user account locked (1909)

不幸的是，某些 AD 安装不返回 LDAP 子错误代码，这意味着该解决方案将无法正常工作。

不要忘记添加对项目的一些引用：System.DirectoryServices 和 System.DirectoryServices.Protocols

不过，我的问题是：如何获得 LDAP 服务器名称？如果您正在编写一个可移植的应用程序，您不能期望用户知道或需要提供每个网络上的 AD 服务器的名称。

我的用户仅限于登录特定工作站；如何指定我尝试登录的工作站？（例如，workstation1 会因数据 531 而失败，workstation2 会正常工作）

我觉得很奇怪，因为我认为你没有得到足够的信用。这是一种完全托管的方法，无需通过 Win32 API 调用来确定“用户必须重置密码”是否显然其他答案都没有实现。这种方法是否存在漏洞导致其升值率低？唔...

M

Markus Safar

使用 DirectoryServices 的非常简单的解决方案：

using System.DirectoryServices;

//srvr = ldap server, e.g. LDAP://domain.com
//usr = user name
//pwd = user password
public bool IsAuthenticated(string srvr, string usr, string pwd)
{
    bool authenticated = false;

    try
    {
        DirectoryEntry entry = new DirectoryEntry(srvr, usr, pwd);
        object nativeObject = entry.NativeObject;
        authenticated = true;
    }
    catch (DirectoryServicesCOMException cex)
    {
        //not authenticated; reason why is in cex
    }
    catch (Exception ex)
    {
        //not authenticated due to some other exception [this is optional]
    }

    return authenticated;
}

需要 NativeObject 访问来检测错误的用户/密码

这段代码很糟糕，因为它还在进行授权检查（检查是否允许用户读取活动目录信息）。用户名和密码可以是有效的，但不允许用户读取信息 - 并获得异常。换句话说，您可以拥有有效的用户名和密码，但仍然会出现异常。

我实际上正在寻求与 PrincipleContext 等效的 native - 它仅存在于 .NET 3.5 中。但如果您使用的是 .NET 3.5 或更新版本，您应该使用 PrincipleContext

A

Alan

不幸的是，没有“简单”的方法来检查 AD 上的用户凭据。

到目前为止，使用每种方法，您都可能会得到一个假阴性：用户的信用是有效的，但是 AD 在某些情况下会返回 false：

用户需要在下次登录时更改密码。

用户密码已过期。

ActiveDirectory 将不允许您使用 LDAP 来确定密码是否由于用户必须更改密码或密码已过期而无效。

要确定密码更改或密码过期，您可以调用 Win32:LogonUser()，并检查以下 2 个常量的 windows 错误代码：

ERROR_PASSWORD_MUST_CHANGE = 1907

ERROR_PASSWORD_EXPIRED = 1330

请问你从哪里得到 Expired 和 Must_Change 的定义...除了在这里找不到它们：)

来自 MSDN 文章：msdn.microsoft.com/en-us/library/windows/desktop/…

谢谢。我试图找出我的验证一直返回错误的方式。这是因为用户需要更改他的密码。

s

stephbu

可能最简单的方法是 PInvoke LogonUser Win32 API.eg

http://www.pinvoke.net/default.aspx/advapi32/LogonUser.html

MSDN 参考这里...

http://msdn.microsoft.com/en-us/library/aa378184.aspx

肯定要使用登录类型

LOGON32_LOGON_NETWORK (3)

这只会创建一个轻量级令牌 - 非常适合 AuthN 检查。（其他类型可用于构建交互式会话等）

正如@Alan 指出的那样，LogonUser API 除了 System.DirectoryServices 调用之外还有许多有用的特征。

@cciotti：不，那是错误的。正确验证某人的最佳方法是使用 LogonUserAPI 作为@stephbu 编写。这篇文章中描述的所有其他方法都不会 100% 有效。不过请注意，我相信您必须加入域才能调用 LogonUser。

@Alan 要生成凭据，您必须能够通过提交有效的域帐户来连接到域。但是我很确定您的机器不一定需要成为域的成员。

LogonUser API 要求用户拥有 作为操作系统的一部分 权限；这不是用户得到的东西——也不是你想授予组织中的每个用户的东西。 (msdn.microsoft.com/en-us/library/aa378184(v=vs.85).aspx)

根据support.microsoft.com/kb/180548，LogonUser 只需要 作为操作系统的一部分 用于 Windows 2000 及更低版本...对于 Server 2003 及更高版本看起来很干净。

s

surfmuggle

完整的 .Net 解决方案是使用 System.DirectoryServices 命名空间中的类。它们允许直接查询 AD 服务器。这是一个可以执行此操作的小示例：

using (DirectoryEntry entry = new DirectoryEntry())
{
    entry.Username = "here goes the username you want to validate";
    entry.Password = "here goes the password";

    DirectorySearcher searcher = new DirectorySearcher(entry);

    searcher.Filter = "(objectclass=user)";

    try
    {
        searcher.FindOne();
    }
    catch (COMException ex)
    {
        if (ex.ErrorCode == -2147023570)
        {
            // Login or password is incorrect
        }
    }
}

// FindOne() didn't throw, the credentials are correct

此代码使用提供的凭据直接连接到 AD 服务器。如果凭据无效，则 searcher.FindOne() 将抛出异常。 ErrorCode 对应于“无效的用户名/密码”COM 错误。

您无需以 AD 用户身份运行代码。事实上，我成功地使用它从域外的客户端查询 AD 服务器上的信息！

身份验证类型如何？我认为您在上面的代码中忘记了它。 :-) 默认情况下 DirectoryEntry.AuthenticationType 设置为 Secured 对吗？该代码不适用于不安全的 LDAP（可能是匿名或无）。我对此是否正确？

查询 AD 服务器的缺点是您有权查询 AD 服务器。您的凭据可以是有效的，但如果您没有查询 AD 的权限，则会收到错误消息。这就是创建所谓的快速绑定的原因；您在未授权用户执行某项操作的情况下验证凭据。

如果在检查凭据之前由于任何其他原因引发 COMException，这不会允许任何人通过吗？

p

palswim

另一个用于快速验证 LDAP 凭据的 .NET 调用：

using System.DirectoryServices;

using(var DE = new DirectoryEntry(path, username, password)
{
    try
    {
        DE.RefreshCache(); // This will force credentials validation
    }
    catch (COMException ex)
    {
        // Validation failed - handle how you want
    }
}

这是唯一对我有用的解决方案，使用 PrincipalContext 对我不起作用。

PrincipalContext 对安全 LDAP 连接无效（又名 LDAPS，它使用端口 636

C

Charles Bretana

试试这个代码（注意：报告在 windows server 2000 上不起作用）

#region NTLogonUser
#region Direct OS LogonUser Code
[DllImport( "advapi32.dll")]
private static extern bool LogonUser(String lpszUsername, 
    String lpszDomain, String lpszPassword, int dwLogonType, 
    int dwLogonProvider, out int phToken);

[DllImport("Kernel32.dll")]
private static extern int GetLastError();

public static bool LogOnXP(String sDomain, String sUser, String sPassword)
{
   int token1, ret;
   int attmpts = 0;

   bool LoggedOn = false;

   while (!LoggedOn && attmpts < 2)
   {
      LoggedOn= LogonUser(sUser, sDomain, sPassword, 3, 0, out token1);
      if (LoggedOn) return (true);
      else
      {
         switch (ret = GetLastError())
         {
            case (126): ; 
               if (attmpts++ > 2)
                  throw new LogonException(
                      "Specified module could not be found. error code: " + 
                      ret.ToString());
               break;

            case (1314): 
               throw new LogonException(
                  "Specified module could not be found. error code: " + 
                      ret.ToString());

            case (1326): 
               // edited out based on comment
               //  throw new LogonException(
               //   "Unknown user name or bad password.");
            return false;

            default: 
               throw new LogonException(
                  "Unexpected Logon Failure. Contact Administrator");
              }
          }
       }
   return(false);
}
#endregion Direct Logon Code
#endregion NTLogonUser

除非您需要为“LogonException”创建自己的自定义异常

不要使用异常处理从方法返回信息。 “未知用户名或错误密码”并不例外，它是 LogonUser 的标准行为。只返回假。

是的...这是来自旧的 VB6 库的端口...写于 2003 年左右...（当 .Net 首次出现时）

如果在 Windows 2000 上运行，此代码将不起作用 (support.microsoft.com/kb/180548)

重新思考这个。登录用户的预期行为，其目的，是让用户登录。如果它未能执行该任务，则它是一个例外。实际上，该方法应该返回 void，而不是布尔值。另外，如果您只是返回一个布尔值，则该方法的使用者无法告知用户失败的原因是什么。

M

Michael Liu

Windows 身份验证可能因各种原因而失败：用户名或密码不正确、帐户被锁定、密码过期等等。要区分这些错误，请通过 P/Invoke 调用 LogonUser API 函数，如果函数返回 false，请检查错误代码：

using System;
using System.ComponentModel;
using System.Runtime.InteropServices;

using Microsoft.Win32.SafeHandles;

public static class Win32Authentication
{
    private class SafeTokenHandle : SafeHandleZeroOrMinusOneIsInvalid
    {
        private SafeTokenHandle() // called by P/Invoke
            : base(true)
        {
        }

        protected override bool ReleaseHandle()
        {
            return CloseHandle(this.handle);
        }
    }

    private enum LogonType : uint
    {
        Network = 3, // LOGON32_LOGON_NETWORK
    }

    private enum LogonProvider : uint
    {
        WinNT50 = 3, // LOGON32_PROVIDER_WINNT50
    }

    [DllImport("kernel32.dll", SetLastError = true)]
    private static extern bool CloseHandle(IntPtr handle);

    [DllImport("advapi32.dll", SetLastError = true)]
    private static extern bool LogonUser(
        string userName, string domain, string password,
        LogonType logonType, LogonProvider logonProvider,
        out SafeTokenHandle token);

    public static void AuthenticateUser(string userName, string password)
    {
        string domain = null;
        string[] parts = userName.Split('\\');
        if (parts.Length == 2)
        {
            domain = parts[0];
            userName = parts[1];
        }

        SafeTokenHandle token;
        if (LogonUser(userName, domain, password, LogonType.Network, LogonProvider.WinNT50, out token))
            token.Dispose();
        else
            throw new Win32Exception(); // calls Marshal.GetLastWin32Error()
    }
}

示例用法：

try
{
    Win32Authentication.AuthenticateUser("EXAMPLE\\user", "P@ssw0rd");
    // Or: Win32Authentication.AuthenticateUser("user@example.com", "P@ssw0rd");
}
catch (Win32Exception ex)
{
    switch (ex.NativeErrorCode)
    {
        case 1326: // ERROR_LOGON_FAILURE (incorrect user name or password)
            // ...
        case 1327: // ERROR_ACCOUNT_RESTRICTION
            // ...
        case 1330: // ERROR_PASSWORD_EXPIRED
            // ...
        case 1331: // ERROR_ACCOUNT_DISABLED
            // ...
        case 1907: // ERROR_PASSWORD_MUST_CHANGE
            // ...
        case 1909: // ERROR_ACCOUNT_LOCKED_OUT
            // ...
        default: // Other
            break;
    }
}

注意：LogonUser 需要与您验证的域建立信任关系。

你能解释为什么你的答案比最高投票的答案更好吗？

@MohammadAli：如果您需要知道凭据验证失败的原因（凭据不正确、帐户被锁定、密码过期等），LogonUser API 函数会告诉您。相反， PrincipalContext.ValidateCredentials 方法（根据对 marc_s 答案的评论）不会；在所有这些情况下它都返回 false。另一方面，LogonUser 需要与域的信任关系，但 PrincipalContext.ValidateCredentials（我认为）不需要。

c

chauwel

如果您坚持使用 .NET 2.0 和托管代码，这里有另一种适用于本地和域帐户的方法：

using System;
using System.Collections.Generic;
using System.Text;
using System.Security;
using System.Diagnostics;

static public bool Validate(string domain, string username, string password)
{
    try
    {
        Process proc = new Process();
        proc.StartInfo = new ProcessStartInfo()
        {
            FileName = "no_matter.xyz",
            CreateNoWindow = true,
            WindowStyle = ProcessWindowStyle.Hidden,
            WorkingDirectory = Environment.GetFolderPath(Environment.SpecialFolder.CommonApplicationData),
            UseShellExecute = false,
            RedirectStandardError = true,
            RedirectStandardOutput = true,
            RedirectStandardInput = true,
            LoadUserProfile = true,
            Domain = String.IsNullOrEmpty(domain) ? "" : domain,
            UserName = username,
            Password = Credentials.ToSecureString(password)
        };
        proc.Start();
        proc.WaitForExit();
    }
    catch (System.ComponentModel.Win32Exception ex)
    {
        switch (ex.NativeErrorCode)
        {
            case 1326: return false;
            case 2: return true;
            default: throw ex;
        }
    }
    catch (Exception ex)
    {
        throw ex;
    }

    return false;
}

适用于他启动脚本的机器的本地帐户

顺便说一句，需要此方法才能使其工作 public static SecureString ToSecureString(string PwString) { char[] PasswordChars = PwString.ToCharArray(); SecureString 密码 = new SecureString(); foreach (char c in PasswordChars) Password.AppendChar(c); ProcessStartInfo foo = new ProcessStartInfo(); foo.Password = 密码；返回 foo.Password; }

相反，无论如何都应该使用 SecureString 作为密码。 WPF PasswordBox 支持它。

h

hossein andarkhora

我的简单功能

 private bool IsValidActiveDirectoryUser(string activeDirectoryServerDomain, string username, string password)
    {
        try
        {
            DirectoryEntry de = new DirectoryEntry("LDAP://" + activeDirectoryServerDomain, username + "@" + activeDirectoryServerDomain, password, AuthenticationTypes.Secure);
            DirectorySearcher ds = new DirectorySearcher(de);
            ds.FindOne();
            return true;
        }
        catch //(Exception ex)
        {
            return false;
        }
    }

d

dnxit

对我来说，以下这两种方法都有效，请确保您的域在开始时使用 LDAP://

//"LDAP://" + domainName
private void btnValidate_Click(object sender, RoutedEventArgs e)
{
    try
    {
        DirectoryEntry de = new DirectoryEntry(txtDomainName.Text, txtUsername.Text, txtPassword.Text);
        DirectorySearcher dsearch = new DirectorySearcher(de);
        SearchResult results = null;

        results = dsearch.FindOne();

        MessageBox.Show("Validation Success.");
    }
    catch (LdapException ex)
    {
        MessageBox.Show($"Validation Failure. {ex.GetBaseException().Message}");
    }
    catch (Exception ex)
    {
        MessageBox.Show($"Validation Failure. {ex.GetBaseException().Message}");
    }
}

private void btnValidate2_Click(object sender, RoutedEventArgs e)
{
    try
    {
        LdapConnection lcon = new LdapConnection(new LdapDirectoryIdentifier((string)null, false, false));
        NetworkCredential nc = new NetworkCredential(txtUsername.Text,
                               txtPassword.Text, txtDomainName.Text);
        lcon.Credential = nc;
        lcon.AuthType = AuthType.Negotiate;
        lcon.Bind(nc);

        MessageBox.Show("Validation Success.");
    }
    catch (LdapException ex)
    {
        MessageBox.Show($"Validation Failure. {ex.GetBaseException().Message}");
    }
    catch (Exception ex)
    {
        MessageBox.Show($"Validation Failure. {ex.GetBaseException().Message}");
    }
}

G

Gayan Chinthaka Dharmarathna

这里我完整的身份验证解决方案供您参考。

首先，添加以下四个引用

 using System.DirectoryServices;
 using System.DirectoryServices.Protocols;
 using System.DirectoryServices.AccountManagement;
 using System.Net; 

private void AuthUser() { 


      try{
            string Uid = "USER_NAME";
            string Pass = "PASSWORD";
            if (Uid == "")
            {
                MessageBox.Show("Username cannot be null");
            }
            else if (Pass == "")
            {
                MessageBox.Show("Password cannot be null");
            }
            else
            {
                LdapConnection connection = new LdapConnection("YOUR DOMAIN");
                NetworkCredential credential = new NetworkCredential(Uid, Pass);
                connection.Credential = credential;
                connection.Bind();

                // after authenticate Loading user details to data table
                PrincipalContext ctx = new PrincipalContext(ContextType.Domain);
                UserPrincipal user = UserPrincipal.FindByIdentity(ctx, Uid);
                DirectoryEntry up_User = (DirectoryEntry)user.GetUnderlyingObject();
                DirectorySearcher deSearch = new DirectorySearcher(up_User);
                SearchResultCollection results = deSearch.FindAll();
                ResultPropertyCollection rpc = results[0].Properties;
                DataTable dt = new DataTable();
                DataRow toInsert = dt.NewRow();
                dt.Rows.InsertAt(toInsert, 0);

                foreach (string rp in rpc.PropertyNames)
                {
                    if (rpc[rp][0].ToString() != "System.Byte[]")
                    {
                        dt.Columns.Add(rp.ToString(), typeof(System.String));

                        foreach (DataRow row in dt.Rows)
                        {
                            row[rp.ToString()] = rpc[rp][0].ToString();
                        }

                    }  
                }
             //You can load data to grid view and see for reference only
                 dataGridView1.DataSource = dt;


            }
        } //Error Handling part
        catch (LdapException lexc)
        {
            String error = lexc.ServerErrorMessage;
            string pp = error.Substring(76, 4);
            string ppp = pp.Trim();

            if ("52e" == ppp)
            {
                MessageBox.Show("Invalid Username or password, contact ADA Team");
            }
            if ("775" == ppp)
            {
                MessageBox.Show("User account locked, contact ADA Team");
            }
            if ("525" == ppp)
            {
                MessageBox.Show("User not found, contact ADA Team");
            }
            if ("530" == ppp)
            {
                MessageBox.Show("Not permitted to logon at this time, contact ADA Team");
            }
            if ("531" == ppp)
            {
                MessageBox.Show("Not permitted to logon at this workstation, contact ADA Team");
            }
            if ("532" == ppp)
            {
                MessageBox.Show("Password expired, contact ADA Team");
            }
            if ("533" == ppp)
            {
                MessageBox.Show("Account disabled, contact ADA Team");
            }
            if ("533" == ppp)
            {
                MessageBox.Show("Account disabled, contact ADA Team");
            }



        } //common error handling
        catch (Exception exc)
        {
            MessageBox.Show("Invalid Username or password, contact ADA Team");

        }

        finally {
            tbUID.Text = "";
            tbPass.Text = "";

        }
    }

F

Fábio Nascimento

我正在将此过程用作 DLL 来登录我们开发的其他应用程序...（我们目前正在将其与 OpenEdge Progress 一起使用）

public static string AzureLogin(string user, string password) {

    string status;

    try {
        new DirectorySearcher(new DirectoryEntry("LDAP://yourdomain.com", user, password) {
            AuthenticationType = AuthenticationTypes.Secure,
            Username = user,
            Password = password
        })  {
            Filter = "(objectclass=user)"
        }.FindOne().Properties["displayname"][0].ToString();

        status = $"SUCCESS - User {user} has logged in.";

    } catch(System.Exception e) {
        status = $"ERROR - While logging in: {e}";
    }

    return status;
}

针对 Active Directory 验证用户名和密码？

关注公众号

想领先一步获取最新的外包任务吗？

相似问题

平台

支持

联系我们