当“用户必须在下次登录时更改密码”时,LDAP验证失败。任何解决方案
设置了“用户必须在下次登录时更改密码”时,我遇到了用户验证问题。当“用户必须在下次登录时更改密码”时,LDAP验证失败。任何解决方案
这是我如何验证用户:
Boolean ValidateUser(String userName, String password)
{
try
{
var userOk = new DirectoryEntry("LDAP://<my LDAP server>",
userName,
password,
AuthenticationTypes.Secure
| AuthenticationTypes.ServerBind);
return true;
}
catch (COMException ex)
{
if (ex.ErrorCode == -2147023570) // 0x8007052E -- Wrong user or password
return false;
else
throw;
}
}
当“必须更改密码”设置在收到COMException被逮住如预期,然而,ErrorCode是因为如果密码是错误的一样。
有谁知道如何解决这个问题?
我需要一个返回码,告诉密码是正确的,并且用户必须更改密码。
我不想在C#中实现Kerberos,只是为了在用户必须更改密码时检查该死的标志。
经过在互联网上的长时间搜索,一些错误消息和一些通过Win32API的spelunking经验工作,我想出了一个解决方案,迄今为止工作。
Boolean ValidateUser(String userName, String password)
{
try
{
var user = new DirectoryEntry("LDAP://<my LDAP server>",
userName,
password);
var obj = user.NativeObject;
return true;
}
catch (DirectoryServicesCOMException ex)
{
/*
* The string " 773," was discovered empirically and it is related to the
* ERROR_PASSWORD_MUST_CHANGE = 0x773 that is returned by the LogonUser API.
*
* However this error code is not in any value field of the
* error message, therefore we need to check for the existence of
* the string in the error message.
*/
if (ex.ExtendedErrorMessage.Contains(" 773,"))
throw new UserMustChangePasswordException();
return false;
}
catch
{
throw;
}
}
谢谢Paulo。这对我有用。使用异常后this link 我已经扩大了应对发生这样的事情:
Catch ex As DirectoryServicesCOMException
Dim msg As String = Nothing
Select Case True
Case ex.ExtendedErrorMessage.Contains("773")
msg = "Error 773. User must change password at next logon is set. Please contact support."
Case ex.ExtendedErrorMessage.Contains("525")
msg = "User not found"
Case ex.ExtendedErrorMessage.Contains("52e")
msg = "Invalid credentials"
Case ex.ExtendedErrorMessage.Contains("530")
msg = "Not permitted to logon at this time"
Case ex.ExtendedErrorMessage.Contains("531")
msg = "Not permitted to logon at this workstation"
Case ex.ExtendedErrorMessage.Contains("532")
msg = "Password expired"
Case ex.ExtendedErrorMessage.Contains("533")
msg = "Account disabled"
Case ex.ExtendedErrorMessage.Contains("701")
msg = "Account expired"
Case ex.ExtendedErrorMessage.Contains("775")
msg = "User account is locked"
End Select
If msg IsNot Nothing Then
errorLabel.Text = ex.Message & " " & msg
Else
errorLabel.Text = ex.Message
End If
End Try
不幸的是,使用错误消息不是一个很简单的方法来完成验证账号登录被拒绝的原因。出于这个原因,了解LDAP环境如何管理用户帐户非常重要。在Microsoft Active Directory中,userAccountControl字段用于处理大多数帐户状态。下面是常见的userAccountControl的位的名单:
LDAP_UF_ACCOUNT_DISABLE = 2
LDAP_UF_HOMEDIR_REQUIRED = 8
LDAP_UF_LOCKOUT = 16
LDAP_UF_PASSWD_NOTREQD = 32
LDAP_UF_PASSWD_CANT_CHANGE = 64
LDAP_UF_ENCRYPTED_TEXT_PASSWORD_ALLOWED = 128
LDAP_UF_NORMAL_ACCOUNT = 512
LDAP_UF_INTERDOMAIN_TRUST_ACCOUNT = 2048
LDAP_UF_WORKSTATION_TRUST_ACCOUNT = 4096
LDAP_UF_SERVER_TRUST_ACCOUNT = 8192
LDAP_UF_DONT_EXPIRE_PASSWD = 65536
LDAP_UF_MNS_LOGON_ACCOUNT = 131072
LDAP_UF_SMARTCARD_REQUIRED = 262144
LDAP_UF_TRUSTED_FOR_DELEGATION = 524288
LDAP_UF_NOT_DELEGATED = 1048576
LDAP_UF_USE_DES_KEY_ONLY = 2097152
LDAP_UF_DONT_REQUIRE_PREAUTH = 4194304
LDAP_UF_PASSWORD_EXPIRED = 8388608
LDAP_UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION = 16777216
LDAP_UF_NO_AUTH_DATA_REQUIRED = 33554432
LDAP_UF_PARTIAL_SECRETS_ACCOUNT = 67108864
请记住,这些常常合并。所以,举例来说,如果与正常帐户(LDAP_UF_NORMAL_ACCOUNT)的用户也将被禁用(LDAP_UF_ACCOUNT_DISABLE)时,LDAP字段userAccountControl的将被设置为514(因512 + 2 = 514)
现在,回答原始问题:当用户帐户设置为“密码必须更改”时,AD仅将LDAP_UF_PASSWORD_EXPIRED添加到userAccountControl字段。所以: 普通帐号:LDAP_UF_NORMAL_ACCOUNT + LDAP_UF_PASSWORD_EXPIRED = 8389120
对于这个特定的实例(密码过期),这是迄今为止最常见的价值,但它不是唯一的一个。在评估帐户是否设置了密码过期时,您需要考虑所有可能的选项。
当然,这不是验证设置的最简单方法,但它是最可靠的方法。
我没有得到带有您提到的代码的ExtendedErrorMessage,这两种情况下都完全相同(用户必须在下次登录时更改pwd并且无效pwd)您是否有任何替代解决方案适用于此/任何想法为什么? – 2015-04-15 11:15:44