active-directory - 使用用户登录名而不是显示名向 Active Directory 进行身份验证

Question

我正在用 C++ 编写一个程序，该程序连接到 Active Directory 服务器，搜索内容，然后将该内容转储到终端。我的问题是，我能够成功进行身份验证和连接的唯一方法是使用用户的显示名称（例如测试用户）。我想更改此身份验证方法以改用用户的登录名。（例如 tuser@example.com）

这是负责设置会话的代码：

char * _hostName = "The_Computer_Name";
char * _dn = "CN=Test User,DC=EXAMPLE,DC=COM";
char * _ps = "The_Password123";

int ldap_Query::session_init(){

    if (_pLdapConnection != nullptr) return 0;

    _pLdapConnection = ldap_init(_hostName, LDAP_PORT);
    if ( _pLdapConnection == nullptr) {
        int err = ldap_get_option(_pLdapConnection, LDAP_OPT_ERROR_NUMBER, &err);
        throw LdapQueryException(ldap_err2string(err));
        }


    unsigned long lRtn = ldap_simple_bind_s(_pLdapConnection, _dn,_ps);
    if (lRtn != LDAP_SUCCESS) {
        ldap_unbind(_pLdapConnection);
        _pLdapConnection = nullptr;
        throw LdapQueryException(ldap_err2string(lRtn));
        }

    return 0;
}

我认为我正在寻找的是用户主体名称，但还没有看到使用它进行身份验证的示例。我试过用“CN = tuser，DC = EXAMPLE，DC = COM”替换_dn，但没有运气。

谢谢你的帮助！

score 2 · Accepted Answer

您不能直接使用 upn 名称进行 ldap 绑定。

当您通过 ldap 对目录进行简单绑定时，您需要使用您要绑定的用户的完全限定 DN 及其密码。

要使用userprincipalname您想要的方式，您需要使用服务帐户或匿名（如果允许）使用其提供的userprincipalname属性搜索用户。

用这样的东西搜索。

(&(objectclass=user)(userprincipalname=<supplied value>))

如果您获得匹配项，则从生成的用户条目中获取 DN，然后绑定用户。

active-directory - 使用用户登录名而不是显示名向 Active Directory 进行身份验证

1 回答 1

Related

Reference