7

我想针对域控制器验证一组凭据。例如:

Username: joel
Password: splotchy
Domain:   STACKOVERFLOW

在 .NET 3.5 和更新版本中,您可以使用PrincipalContext.ValidateCredentials(username, password).

否则你就有麻烦了。

按照 Microsoft 知识库文章如何在 Microsoft 操作系统上验证用户凭据中的代码,我到达了您调用的位置AcceptSecurityContext

ss = AcceptSecurityContext(
      @pAS._hcred,           //[in]CredHandle structure
      phContext,             //[in,out]CtxtHandle structure
      @InBuffDesc,           //[in]SecBufferDesc structure 
      0,                     //[in]context requirement flags
      SECURITY_NATIVE_DREP,  //[in]target data representation
      @pAS._hctxt,           //[in,out]CtxtHandle strcture
      @OutBuffDesc,          //[in,out]SecBufferDesc structure
      ContextAttributes,     //[out]Context attribute flags
      @Lifetime);            //[out]Timestamp struture

除了该功能因以下原因而失败:

SEC_E_NO_AUTHENTICATING_AUTHORITY(0x80090311)

功能失败。无法联系任何机构进行身份验证。这可能是由于以下情况:

  • 认证方域名不正确。
  • 域不可用。
  • 信任关系失败。

这将是一个有用的错误,除了我可以使用以下方法验证来自 .NET 3.5 的相同凭据:

using (PrincipalContext context = new PrincipalContext(ContextType.Domain, domain))
{
    valid = context.ValidateCredentials(username, password);                
}

会发生什么让 .NET 验证一组凭据,而本机代码却不能?

更新LogonUser也失败了:

LogonUser("joel@stackoverflow.com", null, "splotchy", 
      LOGON32_LOGON_NETWORK, LOGON32_PROVIDER_WINNT50, out token);


1311 - There are currently no logon servers available to service the logon request

更新二:我已经尝试过首选Negotiate提供程序以及 Windows NT4 旧版“NTLM”提供程序

String package = "Negotiate"; //"NTLM"

QuerySecurityPackageInfo(package, [out] packageInfo);
...
AcquireCredentialsHandle(
      null,                 //[in] principle
      package,              //[in] package
      SECPKG_CRED_OUTBOUND, //[in] credential use
      null,                 //[in] LogonID
      pAuthIdentity,        //[in] authData
      null,                 //[in] GetKeyFn, not used and should be null
      null,                 //[in] GetKeyArgument, not used and should be null
      credHandle,           //[out] CredHandle structure
      expires);             //[out] expiration TimeStamp structure
4

1 回答 1

1

我认为这是为了解决与您发布的另一个问题相同的问题。

我有点理解你现在想要做什么。让我回顾一下你在另一篇文章中写的内容。

Username  Password  Domain             Machine on domain?  Validate as
========  ========  =================  ==================  ============== 
iboyd     pass1     .                  No                  Local account 
iboyd     pass1     (empty)            No                  Local account
iboyd     pass1     stackoverflow.com  No                  Domain account
iboyd     pass1     .                  Yes                 Local account
iboyd     pass1     (empty)            Yes                 Domain account
iboyd     pass1     stackoverflow.com  Yes                 Domain account

你想要

  1. 从您的机器不信任的域中对用户进行身份验证
  2. 从您的机器信任的域中对用户进行身份验证
  3. 验证本地用户

您可以通过与域控制器进行适当的 SSPI 握手来实现前两种情况。您在另一个问题中提到的知识库文章正在执行环回 SSPI 握手。在第一种情况下它不起作用,因为客户端计算机不信任您正在验证的域。这应该是你看到的原因SEC_E_NO_AUTHENTICATING_AUTHORITY

简而言之,如果您想做与

PrincipalContext.ValidateCredentials(username, password);

您需要以不同于域用户的方式处理本地用户。对于域用户,您需要调用ldap_bind_s以使用给定的凭据绑定到域控制器。对于本地用户,您需要使用ADsOpenObject使用给定的凭据绑定到WinnT://YourComputerName 。这就是PrincipalContext.ValidateCredentials我在反射器中读到的内容。

我看不到有任何等效的单个本机 API 为您做同样的事情。

于 2012-03-26T06:03:06.480 回答