[C#]LDAP验证用户名和密码

测试环境：VS2008， NET Framework 3.5

公司打算改用LDAP来存储用户名和密码，现在用C#测试下如何能拿到LDAP中的用户名，并检测用户密码是否正确。即输入用户名和密码，可以检验是否是有效的。

首先我们假设LDAP的server IP是127.0.0.1

基本的DN是ou=user,dc=companyname,dc=com

用来登录的管理员name是cn=sysuser,ou=systemaccounts,dc=companyname,dc=com

对应密码是sysuser

上面这些server name，user name和密码都是测试数据，大概如此，真正用时要换成自己公司的有效server，用户才行哦。

一、连接LDAP sever

现在我们来测试下是否能正确连接到LDAP server，代码如下：

DirectoryEntry entry = new DirectoryEntry("LDAP://127.0.0.1/ou=user,dc=companyname,dc=com","cn=sysuser,ou=systemaccounts,dc=companyname,dc=com", "sysuser", AuthenticationTypes.None);

try

{

object native = entry.NativeObject;

return true;

}

catch (System.Exception ex)

{

throw new Exception("Error authenticating user." + ex.Message);

}

return false;

其中参数AuthenticationTypes.None一定要有，测试的时候没有加这个，结果一直连不到server。

二、列举所有user

现在能连接到LDAP了，我们需要取出公司的所有User，代码如下：

public List<string> EnumerateOU()

{

List<string> lst = new List<string>();

DirectoryEntry entry = new DirectoryEntry("LDAP://127.0.01/ou=user,dc=companyname,dc=com","cn=sysuser,ou=systemaccounts,dc=companyname,dc=com", "sysuser", AuthenticationTypes.None);

try

{

object native = entry.NativeObject;

DirectorySearcher searcher = new DirectorySearcher(entry);

searcher.Filter = "(objectClass=account)";

searcher.PropertiesToLoad.Add("cn");

SearchResultCollection ret = searcher.FindAll();

foreach (SearchResult sr in ret)

{

if (sr != null)

{

lst.Add(sr.Properties["cn"][0].ToString());

}

}

}

catch (System.Exception ex)

{

}

return lst;

}

这里声明DirectoryEntry的LDAP server很重要。

LDAP://127.0.0.1/ou=user,….这个是可以取得数据的地址。如果这里ou为其他值，则拿到的就是另外一些数据了。

注意：ou=user…这句是每个公司的规则都不一样，不一定就是ou=user，主要是遵循自己公司的规定。

所有员工应该有个共同的属性，就拿这个共同的属性出来。下面的searcher.Filter也是这样，所有的员工都有个objectClass，它的值可以有多个，但一定都有个值=account，根绝这个规则，我们就可以拿出所有account了。

cn是什么呢？也是LDAP的一个属性，这里cn里面存储的是员工姓名。如果公司的设置不是如此，如何得知哪个node里存储的是什么东东呢？

我们可以将循环改成这样：

foreach (SearchResult sr in ret)

{

foreach (string key in sr.Properties.PropertyNames)

{

foreach (object val in sr.Properties[key])

{

string strTmp = key + " = " + val;

Debug.WriteLine(strTmp);

}

}

}

这样你就可以看到所有属性和它存储的value了。

三、检验某个user name是否存在以及password是否正确。

现在我们来检测一下某个用户名是否存在：

public int IsAuthenticated(string strUserName, string strPwd)

{

DirectoryEntry entry = new DirectoryEntry("LDAP://127.0.01/ou=user,dc=companyname,dc=com","cn=sysuser,ou=systemaccounts,dc=companyname,dc=com", "sysuser", AuthenticationTypes.None);

try

{

object native = entry.NativeObject;

DirectorySearcher searcher = new DirectorySearcher(entry);

searcher.Filter = "(cn=" + strUserName + ")";

searcher.PropertiesToLoad.Add("cn");

SearchResult ret = searcher.FindOne();

if (sr != null)

return 0; //succeed.

}

}

catch (System.Exception ex)

{

}

return 1; //invalid user

}

这样我们就可以检测到某个用户名是否存在了。这里我们用的Filter是cn=username，实际应用时，要检查自己用到LDAP是用哪个属性来存储用户名的，有可能是uid，也有可能是其他。

但这段代码还有个问题，它只能检查某个用户是否存在，但不能检查它对应的密码是否正确，如何可以同时检查用户名和密码呢？我们修改一下代码，如下：

public int IsAuthenticated(string strUserName, string strPwd)

{

DirectoryEntry entry = new DirectoryEntry("LDAP://127.0.0.1/ou=user,dc=companyname,dc=com","cn=sysuser,ou=systemaccounts,dc=companyname,dc=com", "sysuser", AuthenticationTypes.None);

try

{

object native = entry.NativeObject;

DirectorySearcher searcher = new DirectorySearcher(entry);

searcher.Filter = "(cn=" + strUserName + ")";

searcher.PropertiesToLoad.Add("cn");

SearchResultCollection ret = searcher.FindAll();

foreach (SearchResult sr in ret)

{

if (sr != null)

{

string strPath = sr.Path;

int nIndex = strPath.LastIndexOf("/");

if (nIndex > 0)

{

strPath = strPath.Substring(nIndex + 1, strPath.Length - nIndex - 1);

entry = new DirectoryEntry(sr.Path, strPath, strPwd, AuthenticationTypes.None);

try

{

object native1 = entry.NativeObject;

return 0;

}

catch (System.Exception ex)

{

//return 2; //invalid password

}

}

}

}

if (ret.Count > 0)

return 2; //invalid password

}

catch (System.Exception ex)

{

throw new Exception("Error authenticating user." + ex.Message);

}

return 1; //invalid user

}

我们用这个用户名和密码create一个DirectoryEntry，如果是有效的，就能create，不是有效地，就会抛出一个异常。

这里我们可以看到，我们还修改了Filter得到的结果，现在得到的记过一个Collection。因为同样的用户名，可能属于不同的group，只用findone，可能只是拿到了一个结果，而这个结果可能恰好就不是我们想要的那个user，所以用collection遍历，就可以万无一失。

这次先讲这么多吧。