Реклама:

<connectionStrings>

<add name="AD" connectionString="LDAP://dc.domain.home" /> </connectionStrings>

Вы также можете ограничить область видимости организационной единицы (OTJ). Тогда входить в систему смогут лишь пользователи, учетные записи которых относятся к этим OU. Это очень удобно, если вам нужно ограничить доступ к приложению HR, скажем, лишь пользователями организационной единицы HR (Отдел кадров) домена. С учетом возможности Active Directory выполнять в OU делегирование административных функций не административных пользователей вам следует назначить кого-то из пользователей для отслеживания членства пользователей и групп в приложении без необходимости постоянно обращаться к администратору. Для этого, в строке подключения LDAP укажите корневой контейнер, как это сделано в следующем примере.

<connectionStrings> <add name="AD_HR" connectionString=

"LDAP ://de.domain.home/0U=HR,DC=domain,DC=home" /> </C0nnecti0n31rings>

Для имен учетных записей поддерживается два формата: открытое имя пользователя и имя принципала пользователя (IJPN) (формат ппльзаватель&апмен). Формат задается в атрибуте attribut.eMapl'sername. (Для простых пользовательских имен задавайте формат sAMAccmmtName, для UPN - формат userPrincipalName.) Кроме того, всегда задавайте для параметра amnectionProtection значение Secure. Выбор специфического защитного протокола для перенесения данных зависит от используемой службы каталогов. Провайдер сначала попытается открыть подключениг .Secure Sockets Layer (SSL) к серверу LDAP. Если это невозможно, то Active Directory вернется к защите SignAndSeal, а подключение к ADAM будет завершено. Изменение пароля (например, с использованием элемента управления ChangePassword) сработает только в случае защиты подключения. Простой код конфигурации таков:

<providers> <аоо

name-'AspNetActiveDirectoryMembershipProvider" connectionStringName="AD_HR" connectionProtection-'Secure" attriOuteMapUsername-'sAMAccountName" type="...ActiveDirectoryMemberstiipProvider..." /> </providers>

Если Web-сервер не присоединен к домеиу (или пул приложения запускается под недоменной учетной записью), для учетной записи следует обеспечить пользовательское имя и пароль с привилегиями, позволяющими запрашивать службы каталога. Дл* задания этих данных используйте атрибуты conmectionUserName и connectionPassword и помните о возможности защиты этого кода конфигурации с использованием инструмента ProtectedConfiguration, описанного в главе 4.

Элементы управления

В ASP.NET 2.0 также содержится набор элементов управления, использующих API Membership. Они применяются для входа в систему, регистрации новых пользователей й изменения или сброса паролей. Все эти элементы управления имеют множество свойств и возможностей настройки, я опишу лишь функции, связанные с защитой. Описание всех других функций вы найдете в документации продукта.

Элемент управления Login

Элемент управления Login (рис. 6-3) используется для входа в приложение. Когда пользователь щелкает кнопку Submit с целью проверки мандатов пользователя, этот элемент управления вызывает метод Membership.ValidateUser. Если пользователь имеет действительные полномочия, вызывается метол FormsAuthentication.SetAuth-Cookie, а для выдачи билета аутентификации и проверки подлинности пользователя в последующих запросах используется стандартная инфраструктура аутентификации форм.


⇐ Предыдущая страница| |Следующая страница ⇒