尝试UserPrincipal.FindByIdentity时登录失败错误

Question

我一直在寻找这方面的解决方案一段时间，但每个线程不幸的是死路一条。

我正在研究一个C＃/ ASP.net web应用程序，它只能在我们公司内部使用。匿名访问已在IIS和我的web.config文件中关闭，迫使IIS使用Windows身份验证用户（Active Dir用户）。

我的问题是下面的代码完美地工作，以获得所需的（或任何）AD用户：在PrincipalContext使用

using System.DirectoryServices.AccountManagement; 

... other code ... 

PrincipalContext ctx = new PrincipalContext(ContextType.Domain, "mydomain", "someADuser", "someADuserpassword"); 
UserPrincipal winuser = UserPrincipal.FindByIdentity(ctx, IdentityType.SamAccountName, "samaccountname"); 

“someADuser”以上是通过窗户登录的用户的电流，从而经过身份验证和有效的AD用户。使用下面的代码（使用完全相同的用户仍然登录）给了我一个“登录失败：未知的用户名或密码错误”的错误：

PrincipalContext ctx = new PrincipalContext(ContextType.Domain, "mydomain"); 
UserPrincipal winuser = UserPrincipal.FindByIdentity(ctx, IdentityType.SamAccountName, "samaccountname"); 

看来UserPrincipal.FindByIdentity不使用登录用户的如果未在PrincipalContext对象中指定，则由于某种原因验证凭证 - 我不想这样做。

是否有可能将CTX不拾取在Windows用户登录由于某种原因，即使进行必要的设置（我希望）被添加到web.config中：

<authentication mode="Windows"/> 
<authorization> 
    <deny users="?"/> 
</authorization> 

和匿名访问在IIS中完全禁用？

Answer 1

It seems UserPrincipal.FindByIdentity doesn't use the logged in user's validated credentials for some reason if it's not specified in the PrincipalContext object - something I don't want to do.

UserPrincipal.FindByIdentity完全不关心用户的凭证。您只需查看帐户是否存在即可。您遇到错误的原因是因为默认的用户凭据（即您的Web应用程序运行的身份）无法访问该目录，因此无法执行查找。当您将客户端凭证传递给PrincipalContext时，问题就会消失，因为您的客户端拥有一个有权访问该目录的有效AD帐户。

您应该调查使用哪个身份来运行应用程序池并确保它有权访问该目录。

Answer 2

非常讨厌我，虽然如果匿名访问被关闭，当前主体将默认为登录到Windows的用户。事实证明，这并不像@RogerN所表明的那样。

使用@TheKingDave提到的以下语句，它基本上模拟登录到windows的用户，并使当前线程运行在它的主体而不是“ASP”（在我的情况下）帐户。

因为我们域上的所有用户都拥有对Active Directory的查询/读取权限，所以获取更多关于它们的详细信息并不是问题，这正是我想要的。

结束代码（正在测试）：

System.Web.HttpContext.Current.Request.LogonUserIdentity.Impersonate(); 
ctx = new PrincipalContext(ContextType.Domain, System.Net.NetworkInformation.IPGlobalProperties.GetIPGlobalProperties().DomainName); 
UserPrincipal winuser = UserPrincipal.FindByIdentity(ctx, IdentityType.SamAccountName, "whicheveraccount"); 

希望它可以帮助some1在未来！谢谢！;-)

Answer 3

我做了很多搜索/研究解决这个问题，但是毫无效果，最后，所有我所做的就是添加@为servername，容器，用户名密码&象下面这样：

app.CreatePerOwinContext(() => new PrincipalContext(ContextType.Domain, @"abc.net", @"OU=Customers,DC=abc,DC=net", ContextOptions.SimpleBind, @"abcnet\authuser", @"!$%MyPassword")); 

它工作。卫生署！

Answer 4

所以我找到了如何传递模拟身份。我有一种情况，作为管理员，我想自动解锁用户帐户。我必须获得用户名到变量并通过他们这样的功能：

string accountname = @"domain\username"; 
string admin = "adminusername"; 
string domain = Environment.UserDomainName; 
string password = "password"; 
string dc = "WIN2K8DC1"; // example host name of domain controller, could use IP 

// This determines the domain automatically, no need to specify 
// Use the constructor that takes the domain controller name or IP, 
// admin user name, and password 
PrincipalContext ctx = new PrincipalContext(ContextType.Domain, dc, admin, password); 

UserPrincipal winuser = UserPrincipal.FindByIdentity(ctx, accountname) 

if (winuser != null) 
{ 
    WindowsImpersonationContext wic = Impersonation.doImpersonation(admin, domain, password); //class/function that does the logon of the user and returns the WIC 
    if (wic != null) 
    { 
     winuser.UnlockAccount(); 
    } 
} 

模拟类的功能，可用于返回WIC可以在MSDN上找到： https://msdn.microsoft.com/en-us/library/w070t6ka(v=vs.110).aspx