通过.NET Framework访问活动目录

 

System.DirectoryServices使用户能够通过ASP.NET访问一些基本的用户管理功能。这篇文章首先回顾了活动目录（AD）的有关概念，然后简要地讨论了实际的System.DirectoryServices名字空间本身，最后给出了可供我们在实际应用程序中使用的代码。

活动目录是什么？

在目前的网络环境下，能够方便地控制对各个网络设备的访问是非常关健的。在控制谁在何时有访问何种设备的权限时，需要有一整套方法，这些设备包括打印机、文件以及其他的局域网或分布式网络资源。AD能够提供这些功能，由于与操作系统的整合非常紧密，这意味着AD能够在非常低的级别上提供支持。

AD的工作原理

单地说，AD就是一个内容为所有网络资源、分层次、面向对象的数据库。最顶层的对象一般是Organization (O)，在该组织单元（OU）之下是容器，最后是包含实际资源的对象。这种分层次的格式为系统管理人员创建了一种熟悉和易于管理的“树”。例如，如果指定一个OU访问一个实际的资源，这一权限也将被赋予包含在其中的对象。

如何创建AD？

在.NET Framework中，微软为我们提供了System.DirectoryServices名字空间，它又使用了活动目录服务接口（ADSI）。

DSI是通过编程与许多不同的目录服务提供者交互的方式，也就是一种编程接口。

System.DirectoryServices空间中的类能够与如下所示的活动目录服务提供者配合使用：

表1.1 AD服务提供者

 

目录服务提供者	路径
Windows NT 5.0、Windows 2000或Windows XP	WinNT://path
Lightweight Directory Access Protocol (LDAP)	LDAP://path
Novell NetWare Directory Service	NDS://path
Novell Netware 3.x	NWCOMPAT://path
Internet Information Services (IIS)	IIS://

在System.DirectoryServices名字空间内，有二个主要的类：System.DirectoryServices.DirectoryEntry和System.DirectoryServices.DirectorySearcher类。本篇文章不涉及这二个类的细节，需要注意的是，DirectorySearcher只能与LDAP提供者一起使用。

在使用DirectoryEntry对象时，每个对象都有一个模式。模型是对象条目的类型。例如，如果有一个User模式的DirectoryEntry对象，它就代表是一个用户。

在本篇文章中，我们使用了Windows 2000提供者(WinNT://)和System.DirectoryServices.DirectoryEntry类。

用户管理

在本篇文章的例子中，我们使用System.DirectoryServices名字空间创建一个数据访问层（DAL），执行一些非常基础的用户管理任务。DAL是对执行数据访问的真实的复杂性进行抽象的一种方法。例如，如果我们要编写一个访问Access数据库的DAL，就可以在对象中隐藏所有与ADO.NET有关的任务。当开发人员需要与数据库打交道时，只需要简单地使用这些对象，而无需关心特定的实现细节。开发者根本无需为ADO.NET操心，即使是以后决定升级到SQL Server，也只是需要改变DAL，使之适合新的数据库即可，其他的东西无需改变。

用户对象

我们建立的第一个对象用来表示任何给定用户的当前状态，该对象对User模式的DirectoryEntry类进行抽象。为了清楚起见，它看起来更象一个实际的User对象。

namespace DSHelper {

 public class DSUser {

    public DSUser(System.DirectoryServices.DirectoryEntry user) {

      this.domainName=user.Path;

      this.Username=user.Name;

      this.Password=user.Password;

      try {

        this.FullName=Convert.ToString(user.Invoke("Get", new object[]

{"FullName"}));

        this.Description=Convert.ToString(user.Invoke("Get", new object[]

{"Description"}));

        this.PasswordExpired=Convert.ToInt32(user.Invoke("Get", new object[]

{"PasswordExpired"}));

        this.RasPermissions=Convert.ToInt32(user.Invoke("Get", new object[]

{"RasPermissions"}));

        this.MaxStorage=Convert.ToInt32(user.Invoke("Get", new object[]

{"MaxStorage"}));

        this.PasswordAge=Convert.ToInt32(user.Invoke("Get", new object[]

{"PasswordAge"}));

        this.HomeDirectory=Convert.ToString(user.Invoke("Get", new object[]

{"HomeDirectory"}));

        this.LoginScript=Convert.ToString(user.Invoke("Get", new object[]

{"LoginScript"}));

        this.HomeDirDrive=Convert.ToString(user.Invoke("Get", new object[]

{"HomeDirDrive"}));

        this.userDirEntry=user;

      }catch(Exception e) {

        throw(new Exception("Could not load user from given DirectoryEntry"));

      }

    }

    public DSUser(string Username, string Password, string DomainName) {

      domainName=DomainName;

      if(domainName=="" || domainName==null) domainName=Environment.MachineName;

      username=Username;

      password=Password;

    }

    private object groups=null;

    public object Groups{get{return groups;} set{groups=value;}}

 }

}

 

图1.2 User对象

我们的用户对象有二个缺省的构造器。第一个用来用一个给定的DirectoryEntry对象对我们的用户进行初始化，它将使用Invoke方法从对象中“获取”用户的属性。

第二个构造器用来创建一个新的用户。我们只需要向它传递三个参数，在用来创建新用户时，它就会创建一个新的DSUser对象。需要注意的是，由于没有完成任何的AD操作，因此我们并没有在AD中创建真正的用户。

数据访问层（DAL）

下一步就是创建AD的DAL封装了，下面的一些代码是分步骤完成的完整的UserAdmin DAL代码。

我们首先创建并初始化在UserAdmin类中所需要的代码：

#缺省属性的初始化

    //我们的错误日志设备，应当尽量保持简单，避免代码膨胀过大

    System.Text.StringBuilder errorLog = new System.Text.StringBuilder();

    private System.Boolean error=false;

    public System.Boolean Error{get{return error;}}

    public string ErrorLog{get{return errorLog.ToString();}}

    //设置缺省的属性

    private string loginPath="WinNT://"+Environment.MachineName+",computer";

    private string domainName=null;

    private string loginUsername=null;

    private string loginPassword=null;

    private System.DirectoryServices.AuthenticationTypes authenticationType =

System.DirectoryServices.AuthenticationTypes.None;

    private System.DirectoryServices.DirectoryEntry AD=null;

    private System.Boolean connected=false;

    #endregion

 

图1.3 缺省属性的初始化

注意我们是如何将LoginPath硬拷贝为WinNT提供商的。为了使DAL能够与任何其他AD服务提供商配合，这一点必须进行改变。另外需要注意的是，我使用了System.Text.StringBuilder对象来保存错误日志，从而简化了错误处理过程。在有错误发生的情况下，系统会简单地添加一条日志，Boolean型变量error将会被设置为“真”值。下面的代码是我们设计的类的构造器：（图1.4）

#region .ctor's

    public UserAdmin() {

      Connect();

    }

    /// <摘要>

    /// 在需要的时候，使我们能够创建UserAdmin类

    /// </摘要>

    /// <param name="LoginUsername"></param>

    /// <param name="LoginPassword"></param>

    /// <param name="AuthenticationType"></param>

    /// <param name="DomainName"></param>

    public UserAdmin(string LoginUsername, string LoginPassword,

               System.DirectoryServices.AuthenticationTypes AuthenticationType,

string DomainName) {

      loginUsername=LoginUsername;

      loginPassword=LoginPassword;

      authenticationType=AuthenticationType;

      if(DomainName=="" || DomainName==null)

DomainName=System.Environment.UserDomainName;

      domainName=DomainName;

      Connect();

    }

    /// <摘要>

    /// 获得UserAdmin类的另一种方式，可以指定另外一个LoginPath，例如LDAP或IIS。

    /// </摘要>

    /// <param name="LoginPath"></param>

    /// <param name="LoginUsername"></param>

    /// <param name="LoginPassword"></param>

    /// <param name="AuthenticationType"></param>

    /// <param name="DomainName"></param>

    public UserAdmin(string LoginPath, string LoginUsername, string LoginPassword,

               System.DirectoryServices.AuthenticationTypes AuthenticationType,

string DomainName) {

      loginPath=LoginPath;

      loginUsername=LoginUsername;

      loginPassword=LoginPassword;

      authenticationType=AuthenticationType;

     if(DomainName=="" || DomainName==null)

DomainName=System.Environment.UserDomainName;

      domainName=DomainName;

      Connect();

    }

    #endregion

 

图1.4 构造器

这里的第一个构造器是一个基本的缺省构造器，能够在无需任何参数的情况下创建对象。这意味着该对象将在没有指定的安全权限的情况下连接到本机的WinNT提供者。

第二个构造器使我们能够指定连接到给定域的AD上所需要的证书，在需要使用给定的证书连接到任意域名时，这一构造器非常方便。

第二个构造器中增添了LoginPath参数，这将使我们能够覆盖LoginPath，能够选择缺省提供商之外的其他服务提供者。

下面的代码被我称为“活动方法”，代码如下所示：

public DSHelper.DSUser LoadUser(string username)

这一方法用来接收用户名，并在当前的提供者中查找DirectoryEntry。如果没有找到，就简单地返回NULL。

public System.Boolean AddUserToGroup(string groupname, DSHelper.DSUser dsUser)

这一方法接收现有组的名字和定制的DSUser类的实例，并试图将用户添加到提供的组中。这也是第一个我们能看到impersonation的方法（）。这一方法的核心是下面这行代码：

public System.Collections.ArrayList GetGroups()

我们将使用该方法获得域中所有组的名单。

public System.Boolean DeleteUser(DSHelper.DSUser dsUser)

这一方法获得给定的用户名，并从活动目录中完全删除它。

public System.DirectoryServices.DirectoryEntry SaveUser(DSHelper.DSUser dsUser)

没有实际的在数据库中保存和插入记录的能力，就不能被称为一个完整的DAL。上面的方法可以完成这二项任务，它首先检查AD，看是否有指定的用户存在。如果存在，，则会用我们提供的数据更新该用户。如果用户不存在，就会创建一个用户。

public System.Boolean Connect()

最后，我们需要一个方法，与数据库进行连接，Connect()就是用来完成这一任务的方法。需要指出的是，此时，它不执行任何假冒的操作或指定使用AD的证书，我们只在需要的时候才提供证书，这就使得在没有提供安全证书的情况下，DAL只能在只读的状态下使用。

下面我们将上面的内容串起来，来看看我们如何使用DAL创建ASP.NET用户管理页。

ASP.NET用户管理页

在这一例子工程中，我们能够为系统管理员用户输入用户名和口令，它还提供了一个文本框，我们可以输入域中任何用户的名字，就会列出其所有属性。我们还可以对用户进行编辑、保存操作，也可以完全删除该用户。

现在我们来详细地回顾整个工程，其中重点是与DAL进行交互的部份。请读者考虑使用新的方法改进界面，并实际地创建一个可用性更高以及更友好的设计。另外，读者也可以考虑如何使用控制台应用程序创建界面。

扮演

“扮演”这个词的意思是，我们以其他人或用户的身份执行操作。在我们的ASP.NET应用程序中，这意味着我们可以暂时地客串其他用户，而不是IIS用来处理匿名访问的缺省帐户的ASP.NET用户。我们希望能够使自己的代码扮演对AD资源有更大访问权限的其他用户，以便对资源进行适当的修改。要完成这一过程非常简单。

#region setup impersonation via interop

    //需要保存详细资料时，为完成扮演需要通过InteropServices从COM中导入

    public const int LOGON32_LOGON_INTERACTIVE = 2;

    public const int LOGON32_PROVIDER_DEFAULT = 0;

    System.Security.Principal.WindowsImpersonationContext impersonationContext;

[DllImport("advapi32.dll", CharSet=CharSet.Auto)]public static extern int

LogonUser(String lpszUserName,

String lpszDomain,String lpszPassword,int dwLogonType,int dwLogonProvider,

ref IntPtr phToken);

[DllImport("advapi32.dll", CharSet=System.Runtime.InteropServices.CharSet.Auto,

SetLastError=true)]public

extern static int DuplicateToken(IntPtr hToken, int impersonationLevel,

ref IntPtr hNewToken);

    #endregion

 

图1.5 建立扮演

首先，我们需要从advapi32.dll中导入新的方法，其中包括一些有用的常量。名字为impersonationContext的变量将用来保持扮演操作之前的Windows用户。

这样，我们就建立了扮演，下面是一个如何使用它的例子：

if(impersonateValidUser(this.LoginUsername, this.DomainName,

this.loginPassword)) {

 //在这里插入在指定用户的安全环境下运行的代码

 //不要忘记取消扮演

   undoImpersonation();

} else {

 //扮演操作失败了，插入保证失败后系统安全的机制

}

 

图1.6 扮演的使用

我们只需要简单地以有效的用户名和口令调用impersonateValidUser方法，来扮演该用户。从现在开始，只到调用undoImpersonation()之后，我们将以给定的用户名执行所有的操作。

为了使ASP.NET下的扮演操作能够正常地工作，我们应当改变machine.config（c:\winnt\microsoft.net\framework\v%VERSION%\config\machine.config）中的processModel节点，其中的username属性必须被设置成System。

结束语

本篇文章所论述的是使用System.DirectoryServices名字空间完成一个能够完全地运行的、面向任何提供商AD的DAL所必需的基本内容。在实际应用中，可以对该例子进行改变，使这更符合我们的要求。需要记住的是，对于任何能够实际使用的DAL，它不应当只局限于包括正常的数据库提供者在内的一种服务提供者。我们应当能够交换DAL。

看过本篇文章后，读者可能感到有一种意犹未尽的感觉。读者可能希望在其中添加组管理的功能，其中包括组的创建、编辑和删除，并显示每个用户所属的组以及每个组中的用户。不过这些都需要通过COM Interop才能完成，请读者自行参阅有关资料。