Discussion :

[Spoonnny]

Bonjour à tous

Voici mon problème. Sur un site web, j'ai une page de Login qui doit me permettre de me connecter à un Active Directory distant, ce qui veut dire que le site web n'est pas sur le domaine de l'AD.

Pour cela j'utilise un login générique (usernameLDAP et passwordLDAP) qui me permet de requêter l'AD via le code si dessous.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
System.DirectoryServices.Protocols.LdapConnection con = new System.DirectoryServices.Protocols.LdapConnection(new System.DirectoryServices.Protocols.LdapDirectoryIdentifier(ipServerLDAP + ":" + portLDAP));
con.Credential = new System.Net.NetworkCredential(usernameLDAP, passwordLDAP);
con.SessionOptions.SecureSocketLayer = true;
con.SessionOptions.ProtocolVersion = 3;
con.SessionOptions.VerifyServerCertificate = new System.DirectoryServices.Protocols.VerifyServerCertificateCallback(ServerCallback);
con.AuthType = System.DirectoryServices.Protocols.AuthType.Basic;
con.Bind();
SearchRequest request = new SearchRequest(searchDomainLDAP, "(samaccountname=" + username + ")", System.DirectoryServices.Protocols.SearchScope.Subtree, attribs);
SearchResponse response = (SearchResponse)con.SendRequest(request);

Tout fonctionne nickel sauf qu'une fois connecté, j'aimerai maintenant vérifier si la personne qui se connecte (username) est bien connue du LDAP. Je pensais utiliser le SearchRequest en filtrant sur le samaccountname et sur le mot de passe, genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
SearchRequest request = new SearchRequest(searchDomainLDAP, "(samaccountname=" + username + ")(&(password=" + mot_de_passe + "))",

Mais pour le mot de passe je n'ai pas trouvé l'attribut.
Existe-t-il ou faut-il faire autrement ?

Merci pour votre aide

[DotNetMatt]

Si tu es sur une version du .NET Framework >= 3.5 tu peux utiliser le namespace System.DirectoryServices.AccountManagement :

Code C# :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
using (var context = new PrincipalContext(ContextType.Domain))
{
     bool isValid = context.ValidateCredentials(Username, Password);
}

[Spoonnny]

Merci de ta réponse.

Le pb est que PrincipalContext n'est apparemment utilisable que si la machine se trouve dans le domaine concerné (je suis tombé sur une réponse de forum à ce sujet).
Or là je suis sur un serveur qui ne fait pas partie du domaine.

Quand j'essaye de me connecter au LDAP avec PrincipalContext cela me renvoie "serveur indisponible".

[benratti]

Bonjour à tous

Voici mon problème. Sur un site web, j'ai une page de Login qui doit me permettre de me connecter à un Active Directory distant, ce qui veut dire que le site web n'est pas sur le domaine de l'AD.

Pour cela j'utilise un login générique (usernameLDAP et passwordLDAP) qui me permet de requêter l'AD via le code si dessous.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
System.DirectoryServices.Protocols.LdapConnection con = new System.DirectoryServices.Protocols.LdapConnection(new System.DirectoryServices.Protocols.LdapDirectoryIdentifier(ipServerLDAP + ":" + portLDAP));
con.Credential = new System.Net.NetworkCredential(usernameLDAP, passwordLDAP);
con.SessionOptions.SecureSocketLayer = true;
con.SessionOptions.ProtocolVersion = 3;
con.SessionOptions.VerifyServerCertificate = new System.DirectoryServices.Protocols.VerifyServerCertificateCallback(ServerCallback);
con.AuthType = System.DirectoryServices.Protocols.AuthType.Basic;
con.Bind();
SearchRequest request = new SearchRequest(searchDomainLDAP, "(samaccountname=" + username + ")", System.DirectoryServices.Protocols.SearchScope.Subtree, attribs);
SearchResponse response = (SearchResponse)con.SendRequest(request);

Tout fonctionne nickel sauf qu'une fois connecté, j'aimerai maintenant vérifier si la personne qui se connecte (username) est bien connue du LDAP. Je pensais utiliser le SearchRequest en filtrant sur le samaccountname et sur le mot de passe, genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
SearchRequest request = new SearchRequest(searchDomainLDAP, "(samaccountname=" + username + ")(&(password=" + mot_de_passe + "))",

Mais pour le mot de passe je n'ai pas trouvé l'attribut.
Existe-t-il ou faut-il faire autrement ?

Merci pour votre aide

Tu n'utilises pas la bonne méthode. Lorsque l'on souhaite authentifier un utilisateur à un annuaire LDAP, notamment Active Directory, ce dernier fait des vérifications supplémentaires par rapport à la politique de mot de passe (expiration de mot de passe, ...). Pour cela, la méthode de comparaison du mot de passe n'est pas correcte. Il faut faire un bind avec les credentials de l'utilisateur.

Tu doit donc ouvrir une nouvelle connexion à l'annuaire. Si elle est ok, c'est bon, l'utilisateur est authentifié !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
System.DirectoryServices.Protocols.LdapConnection con = new System.DirectoryServices.Protocols.LdapConnection(new System.DirectoryServices.Protocols.LdapDirectoryIdentifier(ipServerLDAP + ":" + portLDAP));
con.Credential = new System.Net.NetworkCredential(username, mot_de_passe);
con.SessionOptions.SecureSocketLayer = true;
con.SessionOptions.ProtocolVersion = 3;
con.SessionOptions.VerifyServerCertificate = new System.DirectoryServices.Protocols.VerifyServerCertificateCallback(ServerCallback);
con.AuthType = System.DirectoryServices.Protocols.AuthType.Basic;
con.Bind();

[Spoonnny]

C'est bien ce que je craignais.

Merci pour vos réponses.