LDAP验证用户名和密码

测试环境：VS2008， NET Framework 3.5

公司打算改用LDAP来存储用户名和密码，现在用C#测试下如何能拿到LDAP中的用户名，并检测用户密码是否正确。即输入用户名和密码，可以检验是否是有效的。

首先我们假设LDAP的server IP是127.0.0.1

基本的DN是ou=user,dc=companyname,dc=com

用来登录的管理员name是cn=sysuser,ou=systemaccounts,dc=companyname,dc=com

对应密码是sysuser

上面这些server name，user name和密码都是测试数据，大概如此，真正用时要换成自己公司的有效server，用户才行哦。

一、连接LDAP sever

现在我们来测试下是否能正确连接到LDAP server，代码如下：

 DirectoryEntry entry = new DirectoryEntry("LDAP://127.0.0.1/ou=user,dc=companyname,dc=com","cn=sysuser,ou=systemaccounts,dc=companyname,dc=com", "sysuser", AuthenticationTypes.None);

 try
 {
   object native = entry.NativeObject;
   return true;
 }
 catch (System.Exception ex)
 {
   throw new Exception("Error authenticating user." + ex.Message);
 }
 return false;

其中参数AuthenticationTypes.None一定要有，测试的时候没有加这个，结果一直连不到server。

二、列举所有user

现在能连接到LDAP了，我们需要取出公司的所有User，代码如下：

 public List<string> EnumerateOU()
 {
     List<string> lst = new List<string>();
     DirectoryEntry entry = newDirectoryEntry("LDAP://127.0.01/ou=user,dc=companyname,dc=com","cn=sysuser,ou=systemaccounts,dc=companyname,dc=com","sysuser", AuthenticationTypes.None);

       try
     {
           object native = entry.NativeObject;
             DirectorySearcher searcher = new DirectorySearcher(entry);
             searcher.Filter = "(objectClass=account)";
          searcher.PropertiesToLoad.Add("cn");
              SearchResultCollection ret = searcher.FindAll();
             foreach (SearchResult sr in ret)
              {
                       if (sr != null)
                    {
                         lst.Add(sr.Properties["cn"][].ToString());
                    }
               }
         }
         catch (System.Exception ex)
        {
      }
       return lst;
 }

这里声明DirectoryEntry的LDAP server很重要。

LDAP://127.0.0.1/ou=user,….这个是可以取得数据的地址。如果这里ou为其他值，则拿到的就是另外一些数据了。

注意：ou=user…这句是每个公司的规则都不一样，不一定就是ou=user，主要是遵循自己公司的规定。

所有员工应该有个共同的属性，就拿这个共同的属性出来。下面的searcher.Filter也是这样，所有的员工都有个objectClass，它的值可以有多个，但一定都有个值=account，根绝这个规则，我们就可以拿出所有account了。

cn是什么呢？也是LDAP的一个属性，这里cn里面存储的是员工姓名。如果公司的设置不是如此，如何得知哪个node里存储的是什么东东呢？

我们可以将循环改成这样：

 foreach (SearchResult sr in ret)
 {
       foreach (string key in sr.Properties.PropertyNames)
         {
           foreach (object val in sr.Properties[key])
                 {
                       string strTmp = key + " = " + val;
                         Debug.WriteLine(strTmp);
           }
         }
 }

这样你就可以看到所有属性和它存储的value了。

三、检验某个user name是否存在以及password是否正确。

现在我们来检测一下某个用户名是否存在：

 public int IsAuthenticated(string strUserName, string strPwd)
 {
   DirectoryEntry entry = new DirectoryEntry("LDAP://127.0.01/ou=user,dc=companyname,dc=com","cn=sysuser,ou=systemaccounts,dc=companyname,dc=com", "sysuser", AuthenticationTypes.None);

       try
         {
           object native = entry.NativeObject;
                 DirectorySearcher searcher = new DirectorySearcher(entry);
           searcher.Filter = "(cn=" + strUserName + ")";
                 searcher.PropertiesToLoad.Add("cn");
           SearchResult ret = searcher.FindOne();

               if (sr != null)
                   return ; //succeed.

         }
       catch (System.Exception ex)
         {
   }
       return ; //invalid user
 }

这样我们就可以检测到某个用户名是否存在了。这里我们用的Filter是cn=username，实际应用时，要检查自己用到LDAP是用哪个属性来存储用户名的，有可能是uid，也有可能是其他。

但这段代码还有个问题，它只能检查某个用户是否存在，但不能检查它对应的密码是否正确，如何可以同时检查用户名和密码呢？我们修改一下代码，如下：

 public int IsAuthenticated(string strUserName, string strPwd)
 {
 DirectoryEntry entry = new DirectoryEntry("LDAP://127.0.0.1/ou=user,dc=companyname,dc=com","cn=sysuser,ou=systemaccounts,dc=companyname,dc=com", "sysuser", AuthenticationTypes.None);

 try
 {
 object native = entry.NativeObject;
 DirectorySearcher searcher = new DirectorySearcher(entry);
 searcher.Filter = "(cn=" + strUserName + ")";
 searcher.PropertiesToLoad.Add("cn");
 SearchResultCollection ret = searcher.FindAll();
 foreach (SearchResult sr in ret)
 {
 if (sr != null)
 {
 string strPath = sr.Path;
 int nIndex = strPath.LastIndexOf("/");
 if (nIndex > )
 {
 strPath = strPath.Substring(nIndex + , strPath.Length - nIndex - );
 entry = new DirectoryEntry(sr.Path, strPath, strPwd, AuthenticationTypes.None);
 try
 {
 object native1 = entry.NativeObject;
 return ;
 }
 catch (System.Exception ex)
 {
 //return 2; //invalid password
 }
 }
 }
 }

 if (ret.Count > )
 return ; //invalid password
 }
 catch (System.Exception ex)
 {
 throw new Exception("Error authenticating user." + ex.Message);
 }
 return ; //invalid user
 }

我们用这个用户名和密码create一个DirectoryEntry，如果是有效的，就能create，不是有效地，就会抛出一个异常。

这里我们可以看到，我们还修改了Filter得到的结果，现在得到的记过一个Collection。因为同样的用户名，可能属于不同的group，只用findone，可能只是拿到了一个结果，而这个结果可能恰好就不是我们想要的那个user，所以用collection遍历，就可以万无一失。

这次先讲这么多吧。

以上文章转载于：http://oliverpp.blog.163.com/blog/static/158016201211128029483/