2

使用的技术:asp.net(C#)、MVC、LINQ、Entity

我将 Active Directory 用于我们公司的网站。该系统适用于我们在现场的所有员工,以及当我们将笔记本电脑带到异地并使用 VPN 时。

但是,我们最近聘请了一些我们已授予 VPN 访问权限的开发人员(异地)。但是他们无法运行我们的代码,我不确定为什么。我们为他们设置了活动目录用户,他们可以通过 VPN 连接到我们。

他们遇到了两个错误。

用户名/密码错误。
服务器不是操作错误。

VPN 用户名/密码是否必须与活动目录帐户匹配?如果他们登录到他们的开发机器,该用户名/密码是否必须与活动目录帐户匹配?

是否对 Active Directory 和异地有一些限制,我不知道为什么这对我们有用,但对我们的异地开发人员不起作用?

下面是给出错误的代码部分:它就行了SearchResult rs = ds.FindOne();

public AD_CurrentUserProfile GetUserProfile(string userName)
        {
            using (DirectoryEntry de = new DirectoryEntry("LDAP://server.com"))
            using (DirectorySearcher ds = new DirectorySearcher(de))
            {
                ds.SearchScope = SearchScope.Subtree;

                ds.Filter = ("(&(objectCategory=person)(objectClass=User)(samaccountname=" + userName + "))");
                ds.PropertiesToLoad.Add("distinguishedName");
                ds.PropertiesToLoad.Add("manager");
                ds.PropertiesToLoad.Add("directreports");

                SearchResult rs = ds.FindOne();

                AD_CurrentUserProfile userProfile = new AD_CurrentUserProfile();

                userProfile.currentUser = GetProfileFromDN(rs.Properties["distinguishedName"][0].ToString());
                userProfile.managerProfile = GetProfileFromDN(rs.Properties["manager"][0].ToString(), true);

                int departmentID = db.IPACS_Department.First(v => (v.name == userProfile.currentUser.department)).departmentID;
                userProfile.ipacs_department = db.IPACS_Department.Find(departmentID);

                if (userProfile.currentUser.userName == userProfile.ipacs_department.owner)
                {
                    userProfile.currentUser.isManager = true;
                }

                // Override for Provana and upper management
                if (userProfile.currentUser.department == "Provana" || userProfile.currentUser.department == "JM")
                {
                    userProfile.currentUser.isManager = true;
                }

                if (rs.Properties["DirectReports"].Count > 0)
                {
                    if (!userProfile.currentUser.isManager)
                    {
                        userProfile.currentUser.isSupervisor = true;
                    }
                    userProfile.directReports = new HashSet<AD_User>();

                    foreach (string value in rs.Properties["DirectReports"])
                    {
                        userProfile.directReports.Add(GetProfileFromDN(value));
                    }
                }

                return userProfile;
            }
        }

我从不在任何代码中的任何地方传递“密码”,那么这是 Active Directory 默认执行的操作吗?

4

1 回答 1

1

与 AD 的连接将始终需要 Windows 凭据。您发布的代码未向 AD 提供任何凭据。(您传入一个正在查找的用户名,但这与为连接提供凭据不同)。这将适用于其计算机连接到域的用户......因为您的网络凭据是隐式传递的。对于外部开发人员,当他们使用 VPN 时,他们会向 VPN 协议提供凭据,这允许他们的机器访问您的网络,但这并不意味着他们的机器已“加入”到域......所以 AD 仍然需要来自他们的显式凭据,包括个人密码或有权访问 AD 的服务帐户密码。

这一行:

using (DirectoryEntry de = new DirectoryEntry("LDAP://server.com"))

本质上需要允许用户名和密码:

using (DirectoryEntry de = new DirectoryEntry("LDAP://server.com"), userName, pwd)
{
  de.AuthenticationType = AuthenticationTypes.None | AuthenticationTypes.ReadonlyServer;
}

...您必须根据网络管理员的设置方式来试验 AuthenticationTypes 标志。

于 2014-05-23T06:33:25.560 回答