C# LDAP验证在以下情况下失败;用户必须在下次登录时更改密码;。有解决办法吗?
当设置“用户下次登录时必须更改密码”时,我在用户验证方面遇到问题 以下是我如何验证用户的方法:C# LDAP验证在以下情况下失败;用户必须在下次登录时更改密码;。有解决办法吗?,c#,ldap,C#,Ldap,当设置“用户下次登录时必须更改密码”时,我在用户验证方面遇到问题 以下是我如何验证用户的方法: Boolean ValidateUser(String userName, String password) { try { var userOk = new DirectoryEntry("LDAP://<my LDAP server>", userName,
Boolean ValidateUser(String userName, String password)
{
try
{
var userOk = new DirectoryEntry("LDAP://<my LDAP server>",
userName,
password,
AuthenticationTypes.Secure
| AuthenticationTypes.ServerBind);
return true;
}
catch (COMException ex)
{
if (ex.ErrorCode == -2147023570) // 0x8007052E -- Wrong user or password
return false;
else
throw;
}
}
Boolean ValidateUser(字符串用户名、字符串密码)
{
尝试
{
var userOk=new DirectoryEntry(“LDAP://”),
用户名,
密码,
身份验证类型。安全
|AuthenticationTypes.ServerBind);
返回true;
}
捕获(COMException ex)
{
if(ex.ErrorCode==-2147023570)//0x8007052E——错误的用户或密码
返回false;
其他的
投掷;
}
}
ErrorCode我不想在C#中实现Kerberos,只是为了在用户必须更改密码时检查一个该死的标志。在互联网上进行了长时间的搜索,对错误消息进行了一些经验性的研究,并通过Win32API进行了一些探索之后,我想出了一个迄今为止行之有效的解决方案
Boolean ValidateUser(String userName, String password)
{
try
{
var user = new DirectoryEntry("LDAP://<my LDAP server>",
userName,
password);
var obj = user.NativeObject;
return true;
}
catch (DirectoryServicesCOMException ex)
{
/*
* The string " 773," was discovered empirically and it is related to the
* ERROR_PASSWORD_MUST_CHANGE = 0x773 that is returned by the LogonUser API.
*
* However this error code is not in any value field of the
* error message, therefore we need to check for the existence of
* the string in the error message.
*/
if (ex.ExtendedErrorMessage.Contains(" 773,"))
throw new UserMustChangePasswordException();
return false;
}
catch
{
throw;
}
}
Boolean ValidateUser(字符串用户名、字符串密码)
{
尝试
{
var user=new DirectoryEntry(“LDAP://”),
用户名,
密码);
var obj=user.NativeObject;
返回true;
}
捕获(DirectoryServicesCOMException ex)
{
/*
*字符串“773”是根据经验发现的,它与
*LogonUser API返回的错误\u密码\u必须\u更改=0x773。
*
*但是,此错误代码不在的任何值字段中
*错误消息,因此我们需要检查
*错误消息中的字符串。
*/
if(例如ExtendedErrorMessage.Contains(“773,”)
抛出新的UserMustChangePasswordException();
返回false;
}
抓住
{
投掷;
}
}
谢谢你,保罗。这对我有用。使用
我扩展了异常发生后的响应,如下所示:
Catch ex As DirectoryServicesCOMException
Dim msg As String = Nothing
Select Case True
Case ex.ExtendedErrorMessage.Contains("773")
msg = "Error 773. User must change password at next logon is set. Please contact support."
Case ex.ExtendedErrorMessage.Contains("525")
msg = "User not found"
Case ex.ExtendedErrorMessage.Contains("52e")
msg = "Invalid credentials"
Case ex.ExtendedErrorMessage.Contains("530")
msg = "Not permitted to logon at this time"
Case ex.ExtendedErrorMessage.Contains("531")
msg = "Not permitted to logon at this workstation"
Case ex.ExtendedErrorMessage.Contains("532")
msg = "Password expired"
Case ex.ExtendedErrorMessage.Contains("533")
msg = "Account disabled"
Case ex.ExtendedErrorMessage.Contains("701")
msg = "Account expired"
Case ex.ExtendedErrorMessage.Contains("775")
msg = "User account is locked"
End Select
If msg IsNot Nothing Then
errorLabel.Text = ex.Message & " " & msg
Else
errorLabel.Text = ex.Message
End If
End Try
不幸的是,使用错误消息并不是完成验证帐户登录被拒绝原因的简单方法。因此,了解LDAP环境如何管理用户帐户非常重要。在Microsoft Active Directory中,userAccountControl字段用于处理大多数帐户状态。以下是常见userAccountControl位的列表:
请记住,这些经常是结合在一起的。因此,例如,如果具有普通帐户(LDAP_UF_normal_帐户)的用户也被禁用(LDAP_UF_帐户_DISABLE),LDAP字段userAccountControl将设置为514(因为512+2=514)
现在,为了回答最初的问题:当用户帐户设置为“密码必须更改”时,AD只需将LDAP_UF_Password_EXPIRED添加到userAccountControl字段。因此:
普通帐户:LDAP_UF_普通帐户+LDAP_UF_密码\u过期=8389120
对于这个特定实例(密码过期),这是目前为止最常见的值,但不是唯一的值。在评估帐户是否设置密码过期时,需要考虑所有可能的选项。
当然,这不是验证设置的最简单方法,但却是最可靠的方法。我没有收到您提到的带有代码的ExtendedErrorMessage,这两种情况完全相同(用户必须在下次登录时更改pwd,并且pwd无效)您是否有其他解决方案/了解原因?这并没有解决原始海报的问题,即您无法判断用户输入的密码是否正确。虽然解析错误消息显然不理想,但错误消息中的错误代码确实给出了具体的原因。例如,除了773表示必须更改错误密码外,还可能得到532,这意味着错误密码已过期。只有使用正确的密码进行LDAP绑定时,您才会收到这些错误代码。否则,您将得到错误代码52e。
LDAP_UF_ACCOUNT_DISABLE = 2
LDAP_UF_HOMEDIR_REQUIRED = 8
LDAP_UF_LOCKOUT = 16
LDAP_UF_PASSWD_NOTREQD = 32
LDAP_UF_PASSWD_CANT_CHANGE = 64
LDAP_UF_ENCRYPTED_TEXT_PASSWORD_ALLOWED = 128
LDAP_UF_NORMAL_ACCOUNT = 512
LDAP_UF_INTERDOMAIN_TRUST_ACCOUNT = 2048
LDAP_UF_WORKSTATION_TRUST_ACCOUNT = 4096
LDAP_UF_SERVER_TRUST_ACCOUNT = 8192
LDAP_UF_DONT_EXPIRE_PASSWD = 65536
LDAP_UF_MNS_LOGON_ACCOUNT = 131072
LDAP_UF_SMARTCARD_REQUIRED = 262144
LDAP_UF_TRUSTED_FOR_DELEGATION = 524288
LDAP_UF_NOT_DELEGATED = 1048576
LDAP_UF_USE_DES_KEY_ONLY = 2097152
LDAP_UF_DONT_REQUIRE_PREAUTH = 4194304
LDAP_UF_PASSWORD_EXPIRED = 8388608
LDAP_UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION = 16777216
LDAP_UF_NO_AUTH_DATA_REQUIRED = 33554432
LDAP_UF_PARTIAL_SECRETS_ACCOUNT = 67108864