問題タブ [activedirectorymembership]

AD で設定されている MinRequiredPasswordLength を知りたいです。私がデバッグするとき：

常に「7」を返し、AD では 8 に設定されています。このプロパティは web.config から変更できることはわかっていますが (指定していません)、AD から復元したいと考えています。

ありがとう。

まず、私はADの初心者です。基本ドメインの設定方法は知っていますが、それだけです。

一部のWindowsアプリケーションのホスティングサービスを実行しています。ユーザー権限は、ActiveDirectoryセキュリティグループに基づいています。

私がフォレストとして持っているとしましょうContoso.local-NetBIOS名はCONTOSOです。クライアントが自分のNetBIOS名を維持しながら、ActiveDirectoryユーザーやグループをADに同期できるSaaSを提供したいと思います。たとえば、世界中のどこかにAcmeという名前のクライアントがいて、そのフォレストドメインがAcme.localで、NetBIOS名がだった場合、すべてを管理する代わりにACME、JohnDoeにSaaSにログインする機能を持たせたいと思います。ACME\John.Doeクライアントのユーザーであり、Johnにとしてログインするように要求しますCONTOSO\John.Doe。ここでのアイデアはホワイトラベリングです。

すぐに、おそらくAD FSを考えていると思いますが、私のSaaSはフェデレーションサービスをサポートしていません。

ネットワーク上に別のドメインコントローラーをセットアップしてクライアントに対して複製することもできますが、それはやり過ぎのようです。そして、私はこれを達成する方法がわかりません。

ADが別のドメインのユーザーやグループに対して単純に同期および/または認証する方法はありませんか？（セキュリティの役割に応じて、ユーザーは特定の情報にアクセスできるため、グループも必要です。）これを実現するために信頼またはLDSを設定できますか？

もしそうなら、そうでなければ、提案を提供してください。いくつかのハウツーも大歓迎です！

ありがとう、ジョシュア

Active Directory のセキュリティ グループまたは配布リストにユーザー アカウントを追加するためのソリューションを探していますが、メンバーシップの開始日と終了日が指定されています。Quest Active Rolesコンソールと呼ばれるサードパーティのコンソールを介してADを管理しています。これにより、ユーザーを一時的にセキュリティグループに追加できますが、.NETアプリケーションからこれを行う必要があります. ご覧のとおり、.NET ディレクトリ サービスではこれを実行できません。

何か案が？

ActiveDirectoryに対してフォーム認証を使用できるようにActiveDirectoryMembershipプロバイダーを実装しようとしています。

アプリケーションを参照して、サインインページにリダイレクトできます。間違ったパスワードを入力すると、正しいエラーが発生します。正しいパスワードを入力すると、デフォルトのURL（/Secure/Default.aspx）にリダイレクトされますが、すぐにサインインページにリダイレクトされます。私はフィドラーを使用しているので、2つのリダイレクトを見ることができます。したがって、ADに対して正しく認証されていることは確かですが、それでもサインインページに戻ります。また、アプリケーションでテストページを作成してそれを証明したため、ブラウザがCookieを受け入れることも知っています。以下にweb.configと関連するコードを含めましたが、何が欠けているのか理解できません...

編集： UseCookiesの代わりにUseUriを指定すると、すべてが機能し始めることがわかりました。しかし、あるページのCookieにデータを保存し、別のページでデータを取得できることを検証しました。それでは、なぜそれが認証部分で機能しないのでしょうか。

編集2 サインインページからコードを削除し、標準のログインコントロールを使用しました。同じ問題です。

Web.configファイル：

サインインページ：

ユーザーが過去の特定の日付にグループのメンバーであったかどうかを確認することはできますか？

認証にMVC4およびADLDSでActiveDirectoryMembershipProviderを使用しようとしています。この件に関する多くの投稿を使用して、サーバーをADサーバーに接続し、ユーザーの認証を試みることができましたが、この認証は常に失敗するようです（有効なユーザーであることがわかっている場合でも）。ユーザーがグループごとに編成されているドメイン（たとえば、DC = foo、DC = bar、DC = us）があります。たとえば、OU = someGroup、DC = foo、DC = bar、DC = usがあり、その下にCN = someUser、OU = someGroup、DC = foo、DC = bar、DC=usがあります。someUser @ foo.bar.us、someUser @ someGroup.foo.bar.us、someUserでログインしてみましたが、同じ結果になりました。

1. このユーザーを認証するにはどうすればよいですか？
2. uidでグローバルに検索するようにログインを変更する方法はありますか？cn？

Mythgarrの応答は最初の部分を修正しましたが、2番目の部分はまだわかりません。

C# ASP.NET を使用して MVC2 アプリケーションを開発しています。

私のアプリケーションでは、ユーザー認証に ActiveDirectoryMembershipProvider を使用しています。以下は、私の web.config ファイルのスニペットです。

接続文字列でグローバル カタログ ポート 3268 を使用すると、「GC ポートの LDAP 接続は Active Directory に対してサポートされていません」というエラーが表示されます。このエラー メッセージについて Google で検索しましたが、適切な解決策が見つかりませんでした。多くの人がポート 389 の使用を提案しており、コードの変更を提案している人もいます。しかし、GC ポートを使用して、ユーザーが別のフォレストに接続できるようにしたいと考えています。

いくつかの観察：

• 同じ接続文字列 (ポート 3268 を使用) は、私の会社の他のアプリケーションでも完全に機能しています。
• ポート 389 を指すように接続文字列を変更すると、完全に機能します。つまり、ローカル ドメインに属するユーザーはログインできます。ただし、別のドメインのユーザーはログインできません。
• AcconuntModel と AccountController にブレークポイントを設定しました。接続文字列がポート 3268 を指している場合、Membership.Provider は「ConfigurationErrorsException」をスローしました。

誰かがこの問題を解決するのを手伝ってくれれば、とても助かります。

web.config:

Active Directory と SQL Server のいくつかの機能を組み合わせたカスタム メンバーシップ プロバイダーを作成することができました。1 か月ほど前から、このツールを使用して、「UserPrincipal.FindByIdentity」を呼び出して AD からユーザー情報を取得するときの応答時間が遅いことを認識しました。この応答時間は、SamAccountName ごとに約 5 秒です。ここでは、AD の約 30 人のユーザーについて説明します。

それにもかかわらず、ログイン時間は非常に速く、役割のクエリは適切です (それほど高速ではありませんが、許容範囲です)。

ドメイン コントローラーと Web サーバーでは、適切なポートがファイアウォールで有効になっています (ただし、Web サーバーは DMZ にあります)。顕著な遅延はありません。

DNS 解決は、すべてのネットワークで高速です。

誰もが同様の問題に遭遇したことがありますか?

よろしくお願いします、V.

Active Directoryをユーザーストアとして使用している場合、データベース内の情報を特定のユーザーに関連付けるにはどうすればよいですか？それらを認証した後にデータベースに挿入する必要がありますか（これは私には冗長に思えます）、または認証にのみ広告メンバーシッププロバイダーを使用しており、SQLメンバーシッププロバイダーを使用する必要がありますか？

アカウントが無効になっているユーザーのリストの AD グループ メンバーシップを削除しようとしていますが、コマンドレットを適切に組み合わせる方法がわかりません。これは私の試みです...

users.csv (以下のファイルの内容)

次のメッセージが表示されます...