如何解决通过LDAP进行认证
| 我对其他人如何编码很感兴趣,因为我要么无法正确理解它,要么缺少某些东西,或者甚至我做对了! 首先,这不是LDAP及其OpenDS的Active Directory实例,除了语法上的某些差异外,这无关紧要。 因此,假设我的树结构设置如下:-dc=somedomain,dc=com
-uid=rootuser
-ou=Group1
-uid=username1
-uid=username2
-ou=Group2
-uid=username3
-uid=username4
为了验证为\'rootuser \',在创建System.DirectoryServices.DirectoryEntry对象时,我需要传递完全限定的用户名,在这种情况下:
uid = rootuser,dc = somedomain,dc = com
但是对于树中的任何其他用户,我必须事先知道要在用户名后附加的LDAP路径,以使他们通过身份验证。因此,例如,这将失败:
uid =用户名1,dc = somedomain,dc = com
但这可以工作:
uid =用户名1,dc =某域,dc = com,ou = Group1
所以我的问题是,当您在登录时不知道用户属于哪个特定组来构建该路径时,该如何处理?我唯一能做到这一点的方法是以'rootuser \'身份进行初始调用,因此我可以访问整个树,然后使用System.DirectoryServices.DirectorySearcher扫描该树以查找该特定用户(即username1)。
using (DirectorySearcher searcher = GetDirectorySearcher()) {
searcher.Filter = \"(&(objectClass=person)(uid=\" + userName+ \"))\";
SearchResult result = searcher.FindOne();
return result.GetDirectoryEntry().Path;
}
到那时,我已经有了要登录的用户的路径,可以进行实际的身份验证了。我要离开这里吗?或者这通常是怎么做的?
谢谢!
解决方法
您可以根据用户独有的属性来构建搜索过滤器,例如屏幕名称,电子邮件。确保已配置LDAP以确保它们是唯一的。然后找到相应的条目(如果有),获取DN,然后使用适当的密码将该用户重新绑定。如果没有这样的条目,您将做出相应的反应。
您没有说使用什么语言,但是在JNDI中,这意味着将DN设置为安全主体,将密码设置为凭据,然后调用LdapContext.reconnect()。
,SASL支持使用用户名进行身份验证的概念。您的目录服务器管理员可以配置目录服务器以将专有名称映射到身份。给定正确的映射,客户端可能会在不知道专有名称的情况下进行身份验证。专业质量的目录服务器支持许多不同的映射机制,例如
direct mapping
,exact match
,regular expression
或自定义身份映射器。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。