Czy zweryfikować nazwę użytkownika i hasło do Active Directory?

Jak mogę zweryfikować nazwę użytkownika i hasło do Active Directory? Chcę po prostu sprawdzić, czy nazwa użytkownika i hasło są prawidłowe.

Jeśli pracujesz na .NET 3.5 lub nowszym, możesz użyć System.DirectoryServices.AccountManagementprzestrzeni nazw i łatwo zweryfikować swoje poświadczenia:

// create a "principal context" - e.g. your domain (could be machine, too)
using(PrincipalContext pc = new PrincipalContext(ContextType.Domain, "YOURDOMAIN"))
{
    // validate the credentials
    bool isValid = pc.ValidateCredentials("myuser", "mypassword");
}

To proste, niezawodne, to kod zarządzany w 100% C # po twojej stronie - o co więcej można prosić? :-)

Przeczytaj o tym tutaj:

• Zarządzanie Principals Security Directory w .NET Framework 3.5
• Dokumenty MSDN w System.DirectoryServices.AccountManagement

Aktualizacja:

Jak opisano w tym drugim pytaniu SO (i jego odpowiedziach) , istnieje problem z tym wywołaniem, które prawdopodobnie powraca w Trueprzypadku starych haseł użytkownika. Bądź świadomy tego zachowania i nie zdziw się, jeśli tak się stanie :-) (dzięki @MikeGledhill za zwrócenie na to uwagi!)

Robimy to w naszym intranecie

Musisz użyć System.DirectoryServices;

Oto wnętrzności kodu

using (DirectoryEntry adsEntry = new DirectoryEntry(path, strAccountId, strPassword))
{
    using (DirectorySearcher adsSearcher = new DirectorySearcher(adsEntry))
    {
        //adsSearcher.Filter = "(&(objectClass=user)(objectCategory=person))";
        adsSearcher.Filter = "(sAMAccountName=" + strAccountId + ")";

        try
        {
            SearchResult adsSearchResult = adsSearcher.FindOne();
            bSucceeded = true;

            strAuthenticatedBy = "Active Directory";
            strError = "User has been authenticated by Active Directory.";
        }
        catch (Exception ex)
        {
            // Failed to authenticate. Most likely it is caused by unknown user
            // id or bad strPassword.
            strError = ex.Message;
        }
        finally
        {
            adsEntry.Close();
        }
    }
}

W kilku przedstawionych tutaj rozwiązaniach brakuje możliwości rozróżnienia niewłaściwego użytkownika / hasła od hasła, które należy zmienić. Można to zrobić w następujący sposób:

using System;
using System.DirectoryServices.Protocols;
using System.Net;

namespace ProtocolTest
{
    class Program
    {
        static void Main(string[] args)
        {
            try
            {
                LdapConnection connection = new LdapConnection("ldap.fabrikam.com");
                NetworkCredential credential = new NetworkCredential("user", "password");
                connection.Credential = credential;
                connection.Bind();
                Console.WriteLine("logged in");
            }
            catch (LdapException lexc)
            {
                String error = lexc.ServerErrorMessage;
                Console.WriteLine(lexc);
            }
            catch (Exception exc)
            {
                Console.WriteLine(exc);
            }
        }
    }
}

Jeśli hasło użytkownika jest nieprawidłowe lub użytkownik nie istnieje, błąd będzie zawierał

„8009030C: LdapErr: DSID-0C0904DC, komentarz: błąd AcceptSecurityContext, dane 52e, v1db1”,

jeśli hasło użytkownika wymaga zmiany, będzie ono zawierać

„8009030C: LdapErr: DSID-0C0904DC, komentarz: błąd AcceptSecurityContext, dane 773, v1db1”

Wartość lexc.ServerErrorMessagedanych stanowi szesnastkową reprezentację kodu błędu Win32. Są to te same kody błędów, które zostałyby zwrócone przez wywołanie wywołania API Win32 LogonUser. Poniższa lista podsumowuje zakres wspólnych wartości z wartościami szesnastkowymi i dziesiętnymi:

525​ user not found ​(1317)
52e​ invalid credentials ​(1326)
530​ not permitted to logon at this time​ (1328)
531​ not permitted to logon at this workstation​ (1329)
532​ password expired ​(1330)
533​ account disabled ​(1331) 
701​ account expired ​(1793)
773​ user must reset password (1907)
775​ user account locked (1909)

bardzo proste rozwiązanie za pomocą DirectoryServices:

using System.DirectoryServices;

//srvr = ldap server, e.g. LDAP://domain.com
//usr = user name
//pwd = user password
public bool IsAuthenticated(string srvr, string usr, string pwd)
{
    bool authenticated = false;

    try
    {
        DirectoryEntry entry = new DirectoryEntry(srvr, usr, pwd);
        object nativeObject = entry.NativeObject;
        authenticated = true;
    }
    catch (DirectoryServicesCOMException cex)
    {
        //not authenticated; reason why is in cex
    }
    catch (Exception ex)
    {
        //not authenticated due to some other exception [this is optional]
    }

    return authenticated;
}

Dostęp NativeObject jest wymagany do wykrycia złego użytkownika / hasła

Niestety nie ma „prostego” sposobu sprawdzenia poświadczeń użytkowników w AD.

Przy każdej przedstawionej dotychczas metodzie możesz otrzymać wynik fałszywie ujemny: poświadczenia użytkownika będą ważne, jednak AD zwróci fałsz w pewnych okolicznościach:

• Użytkownik jest zobowiązany do zmiany hasła przy następnym logowaniu.
• Hasło użytkownika wygasło.

ActiveDirectory nie pozwoli ci użyć LDAP do ustalenia, czy hasło jest nieprawidłowe, ponieważ użytkownik musi zmienić hasło lub jego hasło wygasło.

Aby ustalić zmianę hasła lub hasło wygasło, możesz wywołać Win32: LogonUser () i sprawdzić kod błędu systemu Windows pod kątem następujących 2 stałych:

• ERROR_PASSWORD_MUST_CHANGE = 1907
• ERROR_PASSWORD_EXPIRED = 1330

Prawdopodobnie najłatwiejszym sposobem jest PInvoke LogonUser Win32 API.eg

http://www.pinvoke.net/default.aspx/advapi32/LogonUser.html

Dokumentacja MSDN tutaj ...

http://msdn.microsoft.com/en-us/library/aa378184.aspx

Zdecydowanie chcę użyć typu logowania

LOGON32_LOGON_NETWORK (3)

Tworzy to tylko lekki token - idealny do czeków AuthN. (inne typy mogą być używane do tworzenia interaktywnych sesji itp.)

Pełnym rozwiązaniem .Net jest użycie klas z przestrzeni nazw System.DirectoryServices. Pozwalają na bezpośrednie zapytanie do serwera AD. Oto mała próbka, która by to zrobiła:

using (DirectoryEntry entry = new DirectoryEntry())
{
    entry.Username = "here goes the username you want to validate";
    entry.Password = "here goes the password";

    DirectorySearcher searcher = new DirectorySearcher(entry);

    searcher.Filter = "(objectclass=user)";

    try
    {
        searcher.FindOne();
    }
    catch (COMException ex)
    {
        if (ex.ErrorCode == -2147023570)
        {
            // Login or password is incorrect
        }
    }
}

// FindOne() didn't throw, the credentials are correct

Ten kod łączy się bezpośrednio z serwerem AD przy użyciu podanych poświadczeń. Jeśli dane uwierzytelniające są niepoprawne, seekcher.FindOne () zgłosi wyjątek. ErrorCode to kod odpowiadający błędowi COM „nieprawidłowa nazwa użytkownika / hasło”.

Nie musisz uruchamiać kodu jako użytkownik AD. W rzeczywistości z powodzeniem używam go do wyszukiwania informacji na serwerze AD od klienta spoza domeny!

Jeszcze jedno wywołanie platformy .NET w celu szybkiego uwierzytelnienia poświadczeń LDAP:

using System.DirectoryServices;

using(var DE = new DirectoryEntry(path, username, password)
{
    try
    {
        DE.RefreshCache(); // This will force credentials validation
    }
    catch (COMException ex)
    {
        // Validation failed - handle how you want
    }
}

Wypróbuj ten kod (UWAGA: Zgłoszono, że nie działa w systemie Windows Server 2000)

#region NTLogonUser
#region Direct OS LogonUser Code
[DllImport( "advapi32.dll")]
private static extern bool LogonUser(String lpszUsername, 
    String lpszDomain, String lpszPassword, int dwLogonType, 
    int dwLogonProvider, out int phToken);

[DllImport("Kernel32.dll")]
private static extern int GetLastError();

public static bool LogOnXP(String sDomain, String sUser, String sPassword)
{
   int token1, ret;
   int attmpts = 0;

   bool LoggedOn = false;

   while (!LoggedOn && attmpts < 2)
   {
      LoggedOn= LogonUser(sUser, sDomain, sPassword, 3, 0, out token1);
      if (LoggedOn) return (true);
      else
      {
         switch (ret = GetLastError())
         {
            case (126): ; 
               if (attmpts++ > 2)
                  throw new LogonException(
                      "Specified module could not be found. error code: " + 
                      ret.ToString());
               break;

            case (1314): 
               throw new LogonException(
                  "Specified module could not be found. error code: " + 
                      ret.ToString());

            case (1326): 
               // edited out based on comment
               //  throw new LogonException(
               //   "Unknown user name or bad password.");
            return false;

            default: 
               throw new LogonException(
                  "Unexpected Logon Failure. Contact Administrator");
              }
          }
       }
   return(false);
}
#endregion Direct Logon Code
#endregion NTLogonUser

z wyjątkiem tego, że musisz utworzyć własny niestandardowy wyjątek dla „LogonException”

Jeśli utkniesz w .NET 2.0 i kodzie zarządzanym, oto inny sposób, który działa z kontami lokalnymi i domenowymi:

using System;
using System.Collections.Generic;
using System.Text;
using System.Security;
using System.Diagnostics;

static public bool Validate(string domain, string username, string password)
{
    try
    {
        Process proc = new Process();
        proc.StartInfo = new ProcessStartInfo()
        {
            FileName = "no_matter.xyz",
            CreateNoWindow = true,
            WindowStyle = ProcessWindowStyle.Hidden,
            WorkingDirectory = Environment.GetFolderPath(Environment.SpecialFolder.CommonApplicationData),
            UseShellExecute = false,
            RedirectStandardError = true,
            RedirectStandardOutput = true,
            RedirectStandardInput = true,
            LoadUserProfile = true,
            Domain = String.IsNullOrEmpty(domain) ? "" : domain,
            UserName = username,
            Password = Credentials.ToSecureString(password)
        };
        proc.Start();
        proc.WaitForExit();
    }
    catch (System.ComponentModel.Win32Exception ex)
    {
        switch (ex.NativeErrorCode)
        {
            case 1326: return false;
            case 2: return true;
            default: throw ex;
        }
    }
    catch (Exception ex)
    {
        throw ex;
    }

    return false;
}   

Uwierzytelnianie systemu Windows może się nie powieść z różnych powodów: niepoprawnej nazwy użytkownika lub hasła, zablokowanego konta, wygasłego hasła i innych. Aby rozróżnić te błędy, wywołaj funkcję LogonUser API za pomocą P / Invoke i sprawdź kod błędu, jeśli funkcja zwraca false:

using System;
using System.ComponentModel;
using System.Runtime.InteropServices;

using Microsoft.Win32.SafeHandles;

public static class Win32Authentication
{
    private class SafeTokenHandle : SafeHandleZeroOrMinusOneIsInvalid
    {
        private SafeTokenHandle() // called by P/Invoke
            : base(true)
        {
        }

        protected override bool ReleaseHandle()
        {
            return CloseHandle(this.handle);
        }
    }

    private enum LogonType : uint
    {
        Network = 3, // LOGON32_LOGON_NETWORK
    }

    private enum LogonProvider : uint
    {
        WinNT50 = 3, // LOGON32_PROVIDER_WINNT50
    }

    [DllImport("kernel32.dll", SetLastError = true)]
    private static extern bool CloseHandle(IntPtr handle);

    [DllImport("advapi32.dll", SetLastError = true)]
    private static extern bool LogonUser(
        string userName, string domain, string password,
        LogonType logonType, LogonProvider logonProvider,
        out SafeTokenHandle token);

    public static void AuthenticateUser(string userName, string password)
    {
        string domain = null;
        string[] parts = userName.Split('\\');
        if (parts.Length == 2)
        {
            domain = parts[0];
            userName = parts[1];
        }

        SafeTokenHandle token;
        if (LogonUser(userName, domain, password, LogonType.Network, LogonProvider.WinNT50, out token))
            token.Dispose();
        else
            throw new Win32Exception(); // calls Marshal.GetLastWin32Error()
    }
}

Przykładowe użycie:

try
{
    Win32Authentication.AuthenticateUser("EXAMPLE\\user", "P@ssw0rd");
    // Or: Win32Authentication.AuthenticateUser("user@example.com", "P@ssw0rd");
}
catch (Win32Exception ex)
{
    switch (ex.NativeErrorCode)
    {
        case 1326: // ERROR_LOGON_FAILURE (incorrect user name or password)
            // ...
        case 1327: // ERROR_ACCOUNT_RESTRICTION
            // ...
        case 1330: // ERROR_PASSWORD_EXPIRED
            // ...
        case 1331: // ERROR_ACCOUNT_DISABLED
            // ...
        case 1907: // ERROR_PASSWORD_MUST_CHANGE
            // ...
        case 1909: // ERROR_ACCOUNT_LOCKED_OUT
            // ...
        default: // Other
            break;
    }
}

Uwaga: LogonUser wymaga relacji zaufania z domeną, dla której sprawdzasz poprawność.

Moja prosta funkcja

 private bool IsValidActiveDirectoryUser(string activeDirectoryServerDomain, string username, string password)
    {
        try
        {
            DirectoryEntry de = new DirectoryEntry("LDAP://" + activeDirectoryServerDomain, username + "@" + activeDirectoryServerDomain, password, AuthenticationTypes.Secure);
            DirectorySearcher ds = new DirectorySearcher(de);
            ds.FindOne();
            return true;
        }
        catch //(Exception ex)
        {
            return false;
        }
    }

Oto moje kompletne rozwiązanie uwierzytelniające w celach informacyjnych.

Najpierw dodaj cztery następujące odniesienia

 using System.DirectoryServices;
 using System.DirectoryServices.Protocols;
 using System.DirectoryServices.AccountManagement;
 using System.Net; 

private void AuthUser() { 


      try{
            string Uid = "USER_NAME";
            string Pass = "PASSWORD";
            if (Uid == "")
            {
                MessageBox.Show("Username cannot be null");
            }
            else if (Pass == "")
            {
                MessageBox.Show("Password cannot be null");
            }
            else
            {
                LdapConnection connection = new LdapConnection("YOUR DOMAIN");
                NetworkCredential credential = new NetworkCredential(Uid, Pass);
                connection.Credential = credential;
                connection.Bind();

                // after authenticate Loading user details to data table
                PrincipalContext ctx = new PrincipalContext(ContextType.Domain);
                UserPrincipal user = UserPrincipal.FindByIdentity(ctx, Uid);
                DirectoryEntry up_User = (DirectoryEntry)user.GetUnderlyingObject();
                DirectorySearcher deSearch = new DirectorySearcher(up_User);
                SearchResultCollection results = deSearch.FindAll();
                ResultPropertyCollection rpc = results[0].Properties;
                DataTable dt = new DataTable();
                DataRow toInsert = dt.NewRow();
                dt.Rows.InsertAt(toInsert, 0);

                foreach (string rp in rpc.PropertyNames)
                {
                    if (rpc[rp][0].ToString() != "System.Byte[]")
                    {
                        dt.Columns.Add(rp.ToString(), typeof(System.String));

                        foreach (DataRow row in dt.Rows)
                        {
                            row[rp.ToString()] = rpc[rp][0].ToString();
                        }

                    }  
                }
             //You can load data to grid view and see for reference only
                 dataGridView1.DataSource = dt;


            }
        } //Error Handling part
        catch (LdapException lexc)
        {
            String error = lexc.ServerErrorMessage;
            string pp = error.Substring(76, 4);
            string ppp = pp.Trim();

            if ("52e" == ppp)
            {
                MessageBox.Show("Invalid Username or password, contact ADA Team");
            }
            if ("775​" == ppp)
            {
                MessageBox.Show("User account locked, contact ADA Team");
            }
            if ("525​" == ppp)
            {
                MessageBox.Show("User not found, contact ADA Team");
            }
            if ("530" == ppp)
            {
                MessageBox.Show("Not permitted to logon at this time, contact ADA Team");
            }
            if ("531" == ppp)
            {
                MessageBox.Show("Not permitted to logon at this workstation, contact ADA Team");
            }
            if ("532" == ppp)
            {
                MessageBox.Show("Password expired, contact ADA Team");
            }
            if ("533​" == ppp)
            {
                MessageBox.Show("Account disabled, contact ADA Team");
            }
            if ("533​" == ppp)
            {
                MessageBox.Show("Account disabled, contact ADA Team");
            }



        } //common error handling
        catch (Exception exc)
        {
            MessageBox.Show("Invalid Username or password, contact ADA Team");

        }

        finally {
            tbUID.Text = "";
            tbPass.Text = "";

        }
    }