从C#调用NetValidatePasswordPolicy始终返回密码必须更改

前端之家收集整理的这篇文章主要介绍了从C#调用NetValidatePasswordPolicy始终返回密码必须更改前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我们有一个使用Active Directory对我们的用户进行身份验证的mvc应用程序.我们正在利用System.DirectoryServices并使用PricipalContext进行身份验证:

_principalContext.ValidateCredentials(userName,pass,ContextOptions.SimpleBind);

但是,此方法仅返回bool,我们希望返回更好的消息,甚至将用户重定向到密码重置屏幕,例如:

>用户被锁定在帐户外.
>用户密码已过期.
>用户需要在下次登录时更改密码.

因此,如果用户登录失败,我们调用NetValidatePasswordPolicy来查看用户无法登录的原因.这似乎运行良好但我们意识到这个方法只返回NET_API_STATUS.NERR_PasswordMustChange,无论Active Directory用户的状态是什么.

我发现这个问题的唯一例子来自Sublime Speech插件here.我使用的代码如下:

var outputPointer = IntPtr.Zero;
var inputArgs = new NET_VALIDATE_PASSWORD_CHANGE_INPUT_ARG { PasswordMatched = false,UserAccountName = username };
inputArgs.ClearPassword = Marshal.StringToBSTR(password);

var inputPointer = IntPtr.Zero;
inputPointer = Marshal.AllocHGlobal(Marshal.SizeOf(inputArgs));
Marshal.StructureToPtr(inputArgs,inputPointer,false);

using (new ComImpersonator(adImpersonatingUserName,adImpersonatingDomainName,adImpersonatingPassword))
{
    var status = NetValidatePasswordPolicy(serverName,IntPtr.Zero,NET_VALIDATE_PASSWORD_TYPE.NetValidateAuthentication,ref outputPointer);

    if (status == NET_API_STATUS.NERR_Success)
    {
        var outputArgs = (NET_VALIDATE_OUTPUT_ARG)Marshal.PtrToStructure(outputPointer,typeof(NET_VALIDATE_OUTPUT_ARG));
        return outputArgs.ValidationStatus;
    }
    else
    {
       //fail
    }   
}

代码总是成功,那么为什么outputArgs.ValidationStatus的值每次都是相同的结果,无论Active Directory用户的状态如何?

解决方法

我将把这个问题的答案分成三个不同的部分:

>当前的方法论问题
>在线和本主题中推荐解决方案的问题
>解决方

方法的当前问题.

NetValidatePasswordPolicy要求其InputArgs参数接受指向结构的指针,并且传入的结构取决于您传入的ValidationType.在这种情况下,您要传递NET_VALIDATE_PASSWORD_TYPE.NetValidateAuthentication,这需要输入NET_VALIDATE_AUTHENTICATION_INPUT_ARG的输入,但是您需要重新传入指向NET_VALIDATE_PASSWORD_CHANGE_INPUT_ARG的指针.

此外,您正在尝试将“currentPassword”类型的值分配给NET_VALIDATE_PASSWORD_CHANGE_INPUT_ARG结构.

但是,使用NetValidatePasswordPolicy存在更大的根本问题,那就是您正在尝试使用此功能来验证Active Directory中的密码,但这不是它的用途. NetValidatePasswordPolicy用于允许应用程序根据应用程序提供的身份验证数据库进行验证.

有关NetValidatePasswordPolicy here的更多信息.

在线和此线程中推荐的解决方案的问题

在线各种文章推荐使用AdvApi32.dll中的logonUser函数,但是这个实现带有一系列问题:

第一个是logonUser对本地缓存进行验证,这意味着除非您使用“网络”模式,否则您无法立即获得有关该帐户的准确信息.

第二个是在Web应用程序上使用logonUser,在我看来有点hacky,因为它是专为在客户端计算机上运行的桌面应用程序而设计的.但是,考虑到Microsoft提供的限制,如果logonUser给出了所需的结果,我不明白为什么不应该使用它 – 除非缓存问题.

logonUser的另一个问题是它对您的用例的效果取决于您的服务器的配置方式,例如:您需要在要验证的域上启用某些特定权限,而这些权限需要在“网络”登录类型工作.

有关logonUser here的更多信息.

此外,不应使用GetLastError(),而应使用GetLastWin32Error(),因为使用GetLastError()是不安全的.

有关GetLastWin32Error()here的更多信息.

解决方案.

为了从Active Directory获得准确的错误代码,没有任何缓存问题,直接来自目录服务,这是需要做的事情:当帐户出现问题时依赖从AD返回的COMException,因为最终错误是你在寻找什么.

首先,以下是在验证当前用户名和密码时从Active Directory触发错误方法

public LdapBindAuthenticationErrors AuthenticateUser(string domain,string username,string password,string ouString)
    {
        // The path (ouString) should not include the user in the directory,otherwise this will always return true
        DirectoryEntry entry = new DirectoryEntry(ouString,username,password);

        try
        {
            // Bind to the native object,this forces authentication.
            var obj = entry.NativeObject;
            var search = new DirectorySearcher(entry) { Filter = string.Format("({0}={1})",ActiveDirectoryStringConstants.SamAccountName,username) };
            search.PropertiesToLoad.Add("cn");
            SearchResult result = search.FindOne();

            if (result != null)
            {
                return LdapBindAuthenticationErrors.OK;
            }
        }
        catch (DirectoryServicesCOMException c)
        {
            LdapBindAuthenticationErrors ldapBindAuthenticationError = -1;
                    // These LDAP bind error codes are found in the "data" piece (string) of the extended error message we are evaluating,so we use regex to pull that string
                    if (Regex.Match(c.ExtendedErrorMessage,@" data (?<ldapBindAuthenticationError>[a-f0-9]+),").Success)
                    {
                        string errorHexadecimal = match.Groups["ldapBindAuthenticationError"].Value;
                        ldapBindAuthenticationError = (LdapBindAuthenticationErrors)Convert.ToInt32(errorHexadecimal,16);
                        return ldapBindAuthenticationError;
                    }
            catch (Exception e)
            {
                throw;
            }
        }

        return LdapBindAuthenticationErrors.ERROR_logoN_FAILURE;
    }

这些是您的“LdapBindAuthenticationErrors”,您可以在MSDN,here中找到更多信息.

internal enum LdapBindAuthenticationErrors
    {            
        OK = 0
        ERROR_INVALID_PASSWORD = 0x56,ERROR_PASSWORD_RESTRICTION = 0x52D,ERROR_logoN_FAILURE = 0x52e,ERROR_ACCOUNT_RESTRICTION = 0x52f,ERROR_INVALID_logoN_HOURS = 0x530,ERROR_PASSWORD_EXPIRED = 0x532,ERROR_ACCOUNT_DISABLED = 0x533,ERROR_ACCOUNT_EXPIRED = 0x701,ERROR_PASSWORD_MUST_CHANGE = 0x773,ERROR_ACCOUNT_LOCKED_OUT = 0x775
    }

然后,您可以使用此枚举的返回类型,并在控制器中执行所需的操作.需要注意的重要一点是,您正在寻找COMException的“扩展错误消息”中字符串的“数据”部分,因为它包含您正在寻找的全能错误代码.

祝你好运,我希望这会有所帮助.我测试了它,它对我很有用.

猜你在找的C#相关文章