LDAPS et mot de passe

Version imprimable

Bonjour à tous

Voici mon problème. Sur un site web, j'ai une page de Login qui doit me permettre de me connecter à un Active Directory distant, ce qui veut dire que le site web n'est pas sur le domaine de l'AD.

Pour cela j'utilise un login générique (usernameLDAP et passwordLDAP) qui me permet de requêter l'AD via le code si dessous.
Code:

1 2 3 4 5 6 7 8 9 10 System.DirectoryServices.Protocols.LdapConnection con = new System.DirectoryServices.Protocols.LdapConnection(new System.DirectoryServices.Protocols.LdapDirectoryIdentifier(ipServerLDAP + ":" + portLDAP)); con.Credential = new System.Net.NetworkCredential(usernameLDAP, passwordLDAP); con.SessionOptions.SecureSocketLayer = true; con.SessionOptions.ProtocolVersion = 3; con.SessionOptions.VerifyServerCertificate = new System.DirectoryServices.Protocols.VerifyServerCertificateCallback(ServerCallback); con.AuthType = System.DirectoryServices.Protocols.AuthType.Basic; con.Bind(); SearchRequest request = new SearchRequest(searchDomainLDAP, "(samaccountname=" + username + ")", System.DirectoryServices.Protocols.SearchScope.Subtree, attribs); SearchResponse response = (SearchResponse)con.SendRequest(request);
Tout fonctionne nickel sauf qu'une fois connecté, j'aimerai maintenant vérifier si la personne qui se connecte (username) est bien connue du LDAP. Je pensais utiliser le SearchRequest en filtrant sur le samaccountname et sur le mot de passe, genre :
Code:

1 2 SearchRequest request = new SearchRequest(searchDomainLDAP, "(samaccountname=" + username + ")(&(password=" + mot_de_passe + "))",
Mais pour le mot de passe je n'ai pas trouvé l'attribut.
Existe-t-il ou faut-il faire autrement ?

Merci pour votre aide

04/10/2013, 15h40
DotNetMatt
Si tu es sur une version du .NET Framework >= 3.5 tu peux utiliser le namespace System.DirectoryServices.AccountManagement :
Code:

1 2 3 4 using (var context = new PrincipalContext(ContextType.Domain)) { bool isValid = context.ValidateCredentials(Username, Password); }
04/10/2013, 16h26
Spoonnny

Merci de ta réponse.

Le pb est que PrincipalContext n'est apparemment utilisable que si la machine se trouve dans le domaine concerné (je suis tombé sur une réponse de forum à ce sujet).
Or là je suis sur un serveur qui ne fait pas partie du domaine.

Quand j'essaye de me connecter au LDAP avec PrincipalContext cela me renvoie "serveur indisponible".

Citation:
Envoyé par Spoonnny
Bonjour à tous

Voici mon problème. Sur un site web, j'ai une page de Login qui doit me permettre de me connecter à un Active Directory distant, ce qui veut dire que le site web n'est pas sur le domaine de l'AD.

Pour cela j'utilise un login générique (usernameLDAP et passwordLDAP) qui me permet de requêter l'AD via le code si dessous.
Code:

1 2 3 4 5 6 7 8 9 10 System.DirectoryServices.Protocols.LdapConnection con = new System.DirectoryServices.Protocols.LdapConnection(new System.DirectoryServices.Protocols.LdapDirectoryIdentifier(ipServerLDAP + ":" + portLDAP)); con.Credential = new System.Net.NetworkCredential(usernameLDAP, passwordLDAP); con.SessionOptions.SecureSocketLayer = true; con.SessionOptions.ProtocolVersion = 3; con.SessionOptions.VerifyServerCertificate = new System.DirectoryServices.Protocols.VerifyServerCertificateCallback(ServerCallback); con.AuthType = System.DirectoryServices.Protocols.AuthType.Basic; con.Bind(); SearchRequest request = new SearchRequest(searchDomainLDAP, "(samaccountname=" + username + ")", System.DirectoryServices.Protocols.SearchScope.Subtree, attribs); SearchResponse response = (SearchResponse)con.SendRequest(request);
Tout fonctionne nickel sauf qu'une fois connecté, j'aimerai maintenant vérifier si la personne qui se connecte (username) est bien connue du LDAP. Je pensais utiliser le SearchRequest en filtrant sur le samaccountname et sur le mot de passe, genre :
Code:

1 2 SearchRequest request = new SearchRequest(searchDomainLDAP, "(samaccountname=" + username + ")(&(password=" + mot_de_passe + "))",
Mais pour le mot de passe je n'ai pas trouvé l'attribut.
Existe-t-il ou faut-il faire autrement ?

Merci pour votre aide
Tu n'utilises pas la bonne méthode. Lorsque l'on souhaite authentifier un utilisateur à un annuaire LDAP, notamment Active Directory, ce dernier fait des vérifications supplémentaires par rapport à la politique de mot de passe (expiration de mot de passe, ...). Pour cela, la méthode de comparaison du mot de passe n'est pas correcte. Il faut faire un bind avec les credentials de l'utilisateur.

Tu doit donc ouvrir une nouvelle connexion à l'annuaire. Si elle est ok, c'est bon, l'utilisateur est authentifié !
Code:

1 2 3 4 5 6 7 8 System.DirectoryServices.Protocols.LdapConnection con = new System.DirectoryServices.Protocols.LdapConnection(new System.DirectoryServices.Protocols.LdapDirectoryIdentifier(ipServerLDAP + ":" + portLDAP)); con.Credential = new System.Net.NetworkCredential(username, mot_de_passe); con.SessionOptions.SecureSocketLayer = true; con.SessionOptions.ProtocolVersion = 3; con.SessionOptions.VerifyServerCertificate = new System.DirectoryServices.Protocols.VerifyServerCertificateCallback(ServerCallback); con.AuthType = System.DirectoryServices.Protocols.AuthType.Basic; con.Bind();

04/10/2013, 17h35
Spoonnny

C'est bien ce que je craignais. :?

Merci pour vos réponses.