LDAP操作的两种方案

最近由于项目需要研究了一下LDAP相关知识，感觉对没接触过的人来说还是有点坑的，所以记录下来给大家分享。

由于是第一次接触，就在网上搜了一些相关的文章，照着示例代码测试，却怎么也连不上LDAP服务器，最后折腾的能连上服务器了，又不能检索用户。

折腾过程中遇到的主要错误就是：

• There is no such object on the server.

• The username or password is incorrect.

• The server could not be contacted.

在经历了N小时的煎熬之后，终于找到了第一种解决方案，其实就是参考网上的示例代码，但是示例代码的AuthenticationTypes是None，测试连接的时候总是不能正常连接，LDAP地址只能写host，后面不能跟DN，否则就连不上服务器，而且这种方法连接上服务器也不能检索用户。后来改为AuthenticationTypes.FastBind之后才能正常工作了。

    //----------------------------------------------------------------------------------------------
    // DirectoryEntry 方案， 需要引用 System.DirectoryServices
    //----------------------------------------------------------------------------------------------
    var ldapPath = "LDAP://" + host + "/" + baseDN; // LDAP必须要大写，好像是.NET的特色
    DirectoryEntry de = new DirectoryEntry(ldapPath, adminName, adminPass, AuthenticationTypes.FastBind);
    DirectorySearcher searcher = new DirectorySearcher(de);
    searcher.Filter = "(uid=" + testUser + ")";
    searcher.SearchScope = SearchScope.Subtree;
    searcher.PropertiesToLoad.Add("uid");
    searcher.PropertiesToLoad.Add("cn");

    var result = searcher.FindOne();
    
    // 输出几个查询的属性值
    foreach (string n in result.Properties.PropertyNames)
    {
        Console.WriteLine("{0}: {1}", n, result.Properties[n][0].ToString());
    }

    try
    {
        int pos = result.Path.LastIndexOf('/');
        string uid = result.Path.Remove(0, pos + 1);
        
        // 二次连接，使用需要认证的用户密码尝试连接
        DirectoryEntry deUser = new DirectoryEntry(ldapPath, uid, testPass, AuthenticationTypes.FastBind);
        var connected = deUser.NativeObject;
        
        Console.WriteLine("### 认证成功！");
    }
    catch
    {
        Console.WriteLine("认证失败~~~");
    }

另外一种方案是我同事找到的，和我上面一种方案几乎在同一时间找到，比较坑，是使用.NET官方类库中的LdapConnection，我一直认为LDAP这么常见的东西一定有官方的解决方案，奈何搜遍了国内外的中文、E文网站，“LDAP C#”、“LDAP .NET”关键字都搜了，就是没有任何人提到关于这个类的片言只字，真无语！难道这玩意就这么冷门吗？难道大家都在用DirectoryEntry吗？不可思议。

    //------------------------------------------------------------------------------------------
    // LdapConnection 方案， 需要引用 System.DirectoryServices.Protocols
    //------------------------------------------------------------------------------------------
    var identifier = new LdapDirectoryIdentifier(host);
    var conn = new LdapConnection(identifier, new NetworkCredential
    {
        UserName = adminName,
        Password = adminPass
    });
    conn.AuthType = AuthType.Basic;
    conn.Bind();

    var request = new SearchRequest(baseDN, "(uid=" + testUser + ")", SearchScope.Subtree, "otherPassword");
    SearchResponse response = conn.SendRequest(request) as SearchResponse;
    if (response.Entries != null && response.Entries.Count > 0)
    {
        try
        {
            var connUser = new LdapConnection(identifier, new NetworkCredential
            {
                UserName = response.Entries[0].DistinguishedName,
                Password = testPass
            });
            connUser.AuthType = AuthType.Basic;
            connUser.Bind();

            Console.WriteLine("### 认证成功！");
        }
        catch
        {
            Console.WriteLine("认证失败~~~ error password");
        }
    }
    else
    {
        Console.WriteLine("认证失败~~~ no user");
    }

测试代码中用到的一些变量声明：

    var host = "xxx.xxx.xxx.xxx:389";
    var baseDN = "dc=xxx,dc=xxx,dc=com";
    var adminName = "uid=管理账号,ou=管理组," + baseDN;
    var adminPass = "管理密码";
    var testUser = "测试认证用户账号";
    var testPass = "测试认证用户密码";