3

我正在尝试编写一个实用程序方法来更新 C# 中的 AD 属性(现在只是单值字符串属性)。这是一个不依赖 IIS 的独立实用程序。此方法将用于将数据从我们的 HR 系统加载到我们的 AD 中。

我能够使用 System.DirectoryServices.Protocols 有效地读取对象和属性。但是当我调用 ModifyRequest 方法时,我得到一个 DirectoryOperationException 消息“服务器无法处理目录请求”。

基于另一个 Stack Overflow 问题: .Net 的目录服务抛出一个奇怪的异常

我尝试将端口 636 用于 SSL LDAP,但它不会改变行为。

我没有使用 IIS 并且在 .NET 4.5 上,因此 Microsoft 的 .NET/IIS 补丁不应该适用。

谷歌搜索这个没有结果。

如果您知道为什么会发生此错误,以及如何解决它,我将不胜感激。

下面的代码.. 请假设 Conn 包含来自封闭实用程序类的有效且经过身份验证的 LDAP 连接——如果需要,我可以提供封闭实用程序类的完整源代码。

异常发生在以下SendRequestModifyStringAttributeValues

using System;
using System.Collections.Generic;
using System.DirectoryServices.Protocols;
using System.Net;

namespace MyOrganization.Common.Ldap
{
    public class LdapSession
    {
        public bool UseKerberos { set; get; }
        public String Host { set; get; }
        public String UserId { set; get; }
        public String Password { set; get; }
        public String Tag { set; get; }
        public int Port { set; get; }

        public const int DefaultLdapPort = 389;

        protected LdapConnection Conn;

        public void EstablishV2()
        {

        }

        public void Establish()
        {

            var effectivePort = Port == 0 ? DefaultLdapPort : Port;

            Console.WriteLine("EffectivePort={0}", effectivePort);

            var identifier = new LdapDirectoryIdentifier(Host, effectivePort);

            if (UseKerberos)
            {
                Conn = new LdapConnection(identifier)
                {
                    AuthType = AuthType.Kerberos,
                    Timeout = new TimeSpan(0, 10, 0, 0),
                    SessionOptions =
                    {
                        ProtocolVersion = 3,
                        VerifyServerCertificate =
                            new VerifyServerCertificateCallback((con, cer) => true),
                        SecureSocketLayer = true
                    }
                };
            }
            else
            {
                Conn = new LdapConnection(identifier)
                {
                    AuthType = AuthType.Basic,
                    Timeout = new TimeSpan(0, 10, 0, 0)
                };

                // Console.WriteLine("LPA:  Binding with {0}, {1}", UserId, Password); // QUARTZ

                Conn.Bind(new NetworkCredential(UserId, Password));
            }


        }

        public IEnumerable<SearchResultEntry> Search(string cx, string filter, SearchScope searchScope, params string[] attrib)
        {
            var s = new SearchRequest(cx, filter, searchScope, attrib)
            {
                SizeLimit = 0,
                TimeLimit = new TimeSpan(1, 0, 0) // One hour, zero minutes, zero seconds
            };

            var raw = Conn.SendRequest(s);

            if (raw == null)
            {
                throw new Exception("null response");
            }

            var r = raw as SearchResponse;

            if (r != null)
            {
                // Console.WriteLine(Tag + "Search response entries: {0}", r.Entries.Count); // QUARTZ

                foreach (SearchResultEntry e in r.Entries)
                {
                    yield return e;
                }
            }
            else
            {
                // Console.WriteLine(Tag + "Search response was null" ); // QUARTZ
            }

            yield break;
        }


        public ResultCode ModifyStringAttributeValues(string dn, IDictionary<string, string> modifications)
        {
            // declare the request and response objects here
            // they are used in two blocks
            ModifyRequest modRequest;
            ModifyResponse modResponse;

            try
            {
                // initialize the modRequest object 
                modRequest =
                    new ModifyRequest(dn);

                modRequest.Controls.Add(new PermissiveModifyControl());

                var mods = new DirectoryAttributeModification[modifications.Count];

                int z = 0;
                foreach (var pair in modifications)
                {
                    var mod = new DirectoryAttributeModification();
                    mod.Operation = DirectoryAttributeOperation.Replace;
                    mod.Name = pair.Key;
                    mod.Add(pair.Value);

                    mods[z] = mod;

                    z += 1;
                }

                // cast the returned directory response into a ModifyResponse type 
                // named modResponse
                modResponse =
                    (ModifyResponse)Conn.SendRequest(modRequest);

                return modResponse.ResultCode;
            }

            catch (Exception e)
            {
                Console.WriteLine("\nUnexpected exception occured:\n\t{0}: {1}",
                                  e.GetType().Name, e.Message);

                return ResultCode.Unavailable;
            }
        }
    }
}

我知道代码有点笨拙,而且充满了奇怪的注释——它是在我开始工作时从微软网站上的示例代码中剪切、粘贴和修改的。

4

4 回答 4

3

如果有人再次遇到这个问题,这是我的解决方案。删除重复用户证书的操作为我解决了这个问题。以下是步骤

  1. 运行 >certmgr.msc
  2. 进入personal文件夹,找到相关证书
  3. 最后删除所有重复的证书
于 2013-09-16T11:43:13.827 回答
1

我的问题与不满足约束的属性值有关。我试图在不满足所有要求的情况下为帐户设置密码(大写,包括数字等...)

于 2017-08-02T18:31:18.827 回答
1

我也遇到了这个问题,可能是加强域的原因。

解决方案是使用域的协商设置而不是简单的调用。这可能是 ValidateCredentials 中的一个错误,因为它只检查 LdapException。请参阅内部类函数中的https://github.com/dotnet/runtime/blob/main/src/libraries/System.DirectoryServices.AccountManagement/src/System/DirectoryServices/AccountManagement/Context.csValidateCredentialValidator

应该工作的代码:ctx.ValidateCredentials(username, password, ContextOptions.Negotiate | ContextOptions.Sealing | ContextOptions.Signing);

附加的,也许是正确的信息:

https://living-sun.com/143080-how-do-i-validate-active-directory-creds-over-ldap-ssl-c-net-active-directory-ldap-directoryservices.html

编辑:它应该在 .NET 6.0 中修复: https ://github.com/dotnet/runtime/commit/ce95c98fbbf7592b1b74127a4b87fcd607a25c1a#diff-5ec762bfbfb222fe7cb9500c16e615227b7ab971f4118bb9be3e168c6a471668

于 2021-04-15T04:03:59.257 回答
0

这可能是服务器证书检查的问题(例如,如果您的服务器是自动签名的)

这是一些绕过服务器证书检查建立 SSL 连接的测试代码:

    public static LdapConnection GetLdapConnection(string login, string password)
    {
        var serverName = /*myServerNameFromConfig*/;
        var port = /*myPortFromConfig*/;
        LdapDirectoryIdentifier ldi = new LdapDirectoryIdentifier(string.Format("{0}:{1}", serverName, port));

        NetworkCredential nc = new NetworkCredential(login, password);

        LdapConnection connection = new LdapConnection(ldi, nc, System.DirectoryServices.Protocols.AuthType.Basic);
        connection.SessionOptions.ProtocolVersion = 3;
        connection.SessionOptions.VerifyServerCertificate =
                new VerifyServerCertificateCallback((con, cer) => true);
        connection.SessionOptions.SecureSocketLayer = true;
        return connection;
    }
于 2012-11-22T16:49:17.620 回答