एएसपी .NET एमवीसी फॉर्म सक्रिय निर्देशिका समूहों

Question

के साथ प्राधिकरण सक्रिय निर्देशिका के विरुद्ध एएसपी.नेट एमवीसी में उपयोगकर्ताओं और समूहों का उपयोग करके प्रमाणित करने का प्रयास कर रहा हूं।

मैं (खाते वर्ग को छोड़कर) मेरी सभी वर्गों पर निम्न विशेषता डाल दिया है:

[Authorize (Roles="SubcontractDB Users")] 

इस समूह के तहत OU = Area-> OU = समूहों> OU = कंपनी> सीएन = पाया जाता है सक्रिय निर्देशिका में SubcontractDB। मैं यह सोचते हैं रहा हूँ मैं भी web.config जो मैं के रूप में करने का प्रयास कर चुके में स्थापना के लिए एक RoleManager जरूरत है इस प्रकार है:

<roleManager defaultProvider="ADRoleProvider"> 
    <providers> 
    <clear /> 
     <add name="ADMembershipProvider" 
      type="System.Web.Security.ActiveDirectoryMembershipProvider" 
      connectionStringName="ADConnectionString" 
      attributeMapUsername="sAMAccountName" /> 
    </providers> 
</roleManager> 

मेरे कनेक्शन स्ट्रिंग है:

<add name="ADConnectionString" 
     connectionString="LDAP://blah.com:389/DC=blah,DC=wateva,DC=com"/> 

जाहिर है मैं इसे कर रहा हूँ गलत है क्योंकि यह काम नहीं करता है। मैं बस इतना करना चाहता हूं कि उन उपयोगकर्ताओं तक पहुंच की अनुमति दें जो एडी में किसी निश्चित समूह के सदस्य हैं। बस सकता है आप:

namespace Application.Filters 
{ 
    public class AuthorizeADAttribute : AuthorizeAttribute 
    { 
     public string Groups { get; set; } 

     protected override bool AuthorizeCore(HttpContextBase httpContext) 
     { 
     if (base.AuthorizeCore(httpContext)) 
     { 
      /* Return true immediately if the authorization is not 
      locked down to any particular AD group */ 
      if (String.IsNullOrEmpty(Groups)) 
       return true; 

      // Get the AD groups 
      var groups = Groups.Split(',').ToList<string>(); 

      // Verify that the user is in the given AD group (if any) 
      var context = new PrincipalContext(ContextType.Domain, "server"); 
      var userPrincipal = UserPrincipal.FindByIdentity(context, 
               IdentityType.SamAccountName, 
               httpContext.User.Identity.Name); 

      foreach (var group in groups) 
       if (userPrincipal.IsMemberOf(context, IdentityType.Name, group)) 
        return true; 
     } 
     return false; 
     } 
    } 
} 

और फिर मैं बस का उपयोग कर सकते निम्नलिखित ऊपर नियंत्रकों या कार्यों

Using Application.Filters; 
... 
[AuthorizeAD(Groups = "groupname")] 

एनबी:

Answer 1

तो मैं अपने ही अधिकृत विशेषता को लागू करने और उस का उपयोग कर समाप्त हो गया new PrincipalContext(ContextType.Domain); का उपयोग करें हालांकि .NET 4.0 में एक बग है जो (0x80005000) त्रुटि userPrincpal.IsMemberOf(...) पर फेंकता है। विवरण के लिए here देखें। Adding an error message to the view model based on controller attribute in ASP.NET MVC

Answer 2

यह अब ASP.NET MVC 3 में इस कार्यक्षमता के लिए अपनी खुद की विशेषता लागू करने के लिए आवश्यक है:

आप को पता है विफल प्राधिकरण के आधार पर एक पृष्ठ पर रीडायरेक्ट करने के लिए कैसे करना चाहते हैं, मेरा उत्तर यहाँ की जाँच करें। AspNetWindowsTokenRoleProvider सक्रिय निर्देशिका उपयोगकर्ता और समूहों के साथ काम करता है। AuthorizeAttribute के साथ इस का उपयोग करने के लिए आप अपने web.config के लिए निम्न जोड़ने की जरूरत: तुम इतनी तरह सक्रिय निर्देशिका समूह का उल्लेख कर सकते,

<authentication mode="Windows" /> 

<roleManager enabled="true" defaultProvider="AspNetWindowsTokenRoleProvider"> 
    <providers> 
     <clear /> 
     <add 
      name="AspNetWindowsTokenRoleProvider" 
      type="System.Web.Security.WindowsTokenRoleProvider" 
      applicationName="/" /> 
    </providers> 
</roleManager> 

फिर, अपने नियंत्रक या कार्रवाई के तरीकों पर:

[Authorize(Roles = "YOURDOMAIN\\Group1, YOURDOMAIN\\Group2")]