AD(Active Directory)用户验证

着重介绍两中方法使用AD 用户验证机制，

 

方法1：SSPI

 验证此方法具有不需要任何特殊的权限，以及所有版本的 Windows 上工作的优点。 最终结果使用 SSPI 服务验证凭据的是类似于调用 LogonUser API 与 LOGON32_LOGON_NETWORK 登录类型登录。 这种类型的登录，最大缺点是您不能访问远程网络模拟网络类型登录后的资源。 如果您的应用程序调用 LogonUser 与 LOGON32_LOGON_INTERACTIVE 登录类型来替代方法 Windows NT 无法执行委派，然后 SSPI 登录 / 验证可能不会一种可行的替代方法

 

要使用 Windows 95、 Windows 98 和 Windows Millennium Edition 上的这种方法，您还必须启用 NTLM 安全服务，通过打开控制面板、 网络、 访问控制，然后选择用户级访问控制。

在 Windows XP 上默认情况下在以下注册表项 ForceGuest 注册表值设置为 1：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa

在 Windows XP 计算机上的是工作组的成员:

• 如果启用了 ForceGuest （设置为 1，SSPI 将总是尝试使用来宾帐户登录。
• 如果启用了来宾帐户则的 SSPI 登录会为来宾成功输入 任何 用户凭据。
• 如果禁用来宾帐户的 SSPI 登录将甚至失败有效凭据。
• 如果禁用 ForceGuest （设置为 0），SSPI 作为指定的用户而将登录。

此外，如果启用了来宾帐户则 SSPI 登录可能会成功为来宾用户凭据无效的。 本文中的代码 C 的示例演示了如何可以检查建立的安全上下文的访问令牌。 IsGuest Helper 函数，在示例代码显示了如何验证登录出现为指定的用户或来宾。

 

/////////////////////////////////////////////////////////////////////////////////////////////////////////

//一下代码是用于AD中用户名、密码的验证

// 执行： ***.exe 域名 登陆账号  如 a.exe test.com.cn test

// 详情请见http://support.microsoft.com/default.aspx?scid=kb;en-us;180548

// 中文 ：http://support.microsoft.com/kb/180548

// 中文翻译:http://translate.google.cn/translate?prev=hp&hl=zh-CN&js=n&u=http%3A%2F%2Fsupport.microsoft.com%2Fdefault.aspx%3Fscid%3Dkb%3Ben-us%3B180548&sl=en&tl=zh-CN

 

// 提醒：如果GUEST账号被启用，输入一个错误的账号(或不存在的账号)，返回TRUE */ /////////////////////////////////////////////////////////////////////////////// // // SSPI Authentication Sample // // This program demonstrates how to use SSPI to authenticate user credentials. // // THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF // ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED // TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A // PARTICULAR PURPOSE. // // Copyright (C) 2007. Microsoft Corporation. All rights reserved. /////////////////////////////////////////////////////////////////////////////// #define SECURITY_WIN32 #include <windows.h> #include <tchar.h> #include <stdio.h> #include <conio.h> #include <sspi.h> #include <lm.h> #include <lmcons.h> // Older versions of WinError.h do not have SEC_I_COMPLETE_NEEDED #define. // So, in such an SDK environment setup, we will include issperr.h which has the // definition for SEC_I_COMPLETE_NEEDED. Include issperr.h only if // SEC_I_COMPLETE_NEEDED is not defined. #ifndef SEC_I_COMPLETE_NEEDED #include <issperr.h> #endif typedef struct _AUTH_SEQ { BOOL fInitialized; BOOL fHaveCredHandle; BOOL fHaveCtxtHandle; CredHandle hcred; struct _SecHandle hctxt; } AUTH_SEQ, *PAUTH_SEQ; // Function pointers ACCEPT_SECURITY_CONTEXT_FN _AcceptSecurityContext = NULL; ACQUIRE_CREDENTIALS_HANDLE_FN _AcquireCredentialsHandle = NULL; COMPLETE_AUTH_TOKEN_FN _CompleteAuthToken = NULL; DELETE_SECURITY_CONTEXT_FN _DeleteSecurityContext = NULL; FREE_CONTEXT_BUFFER_FN _FreeContextBuffer = NULL; FREE_CREDENTIALS_HANDLE_FN _FreeCredentialsHandle = NULL; INITIALIZE_SECURITY_CONTEXT_FN _InitializeSecurityContext = NULL; QUERY_SECURITY_PACKAGE_INFO_FN _QuerySecurityPackageInfo = NULL; QUERY_SECURITY_CONTEXT_TOKEN_FN _QuerySecurityContextToken = NULL; #define CheckAndLocalFree(ptr) / if (ptr != NULL) / { / LocalFree(ptr); / ptr = NULL; / } #pragma comment(lib, "netapi32.lib") LPVOID RetrieveTokenInformationClass( HANDLE hToken, TOKEN_INFORMATION_CLASS InfoClass, LPDWORD lpdwSize) { LPVOID pInfo = NULL; BOOL fSuccess = FALSE; __try { *lpdwSize = 0; // // Determine the size of the buffer needed // GetTokenInformation( hToken, InfoClass, NULL, *lpdwSize, lpdwSize); if (GetLastError() != ERROR_INSUFFICIENT_BUFFER) { _tprintf(_T("GetTokenInformation failed with %d/n"), GetLastError()); __leave; } // // Allocate a buffer for getting token information // pInfo = LocalAlloc(LPTR, *lpdwSize); if (pInfo == NULL) { _tprintf(_T("LocalAl