安全LDAP认证问题

PrincipalContext pc = new PrincipalContext(ContextType.Domain, "testnet.testad.org:636", "dc=testnet,dc=testad,dc=org");
bool validated = pc.ValidateCredentials(username, password, ContextOptions.Negotiate);

看看我在ServerFault上的回答…

服务可能无法访问:

C:'Documents and Settings'All Users'Application微软数据' ' RSA加密' ' MachineKeys

你提及:

日期:3/25/2013时间:10:11:06 AM来源:channel "A fatal error试图访问SSL客户端凭据私有时发生关键。

检查注册表项，查看支持的SSL/TLS版本;一个可能导致握手问题的问题……(参见下面给出的链接中的场景5)

HKEY_LOCAL_MACHINE ' SYSTEM ' CurrentControlSet ' SecurityProviders ' SCHANNEL ' '控制协议

对于一些相关的场景及其解决方案，请阅读ssl相关问题的故障排除服务器证书

PrincipalContext的ValidateCredentials方法基本上是LDAP绑定操作的包装器。要阅读的两篇关键文章是IADsOpenDSObject::OpenDSObject和LDAP ADsPath。

您正在使用SSL，因此如果您希望它尽可能高效，则需要指定它。关于ValidateCredentials方法的ContextOptions参数的文档实际上听起来不支持这一点:

一个或多个ContextOptions枚举值的组合，用于绑定到服务器。该参数只能指定简单绑定是否使用SSL或协商绑定。

假设我误解了文档，并且ValidateCredentials方法确实支持指定Negotiate | SecureSocketLayer，您需要查看如何发送用户名。在OpenDSObject文章中，它给出了关于用户名格式的建议:

您可以将lpszUserName作为以下字符串之一传入:

1. 用户帐号名，如"jeffsmith"。如果要单独使用用户名，只需要在参数lnReserved中设置ADS_SECURE_AUTHENTICATION标志。

2. 以前版本的Windows NT的用户路径，例如"Fabrikam'jeffsmith"

3. 专有名称，如"CN=Jeff Smith,OU=Sales,DC=Fabrikam,DC= com"。要使用DN, lnReserved参数必须为零，或者必须包含ADS_USE_SSL标志

4. 用户主体名(UPN)，如"jeffsmith@Fabrikam.com"。要使用UPN，您必须为目标用户对象的userPrincipalName属性分配适当的UPN值。

您正在设置SSL标志，因此您必须使用2、3或4。

注:在示例代码中，您在构造函数中指定域的DNS名称。如果您在实际代码中指定服务器，则需要添加ServerBind标志。