Мы получаем активный каталог (Active Directory) как часть Windows 2000 Server. Активный каталог является службой каталога, где может храниться информация о пользователях, принтерах, службах и обычные данные. Exchange Server 2000 компании Microsoft интенсивно использует его для хранения общедоступных папок и другой информации. Мы также можем хранить в активном каталоге определяемые нами данные. В файловой системе каталог хранит файлы, телефонный каталог хранит телефонные номера и имена. Служба каталога делает доступной информацию в каталоге. С помощью Проводника можно, например, находить файлы.

До появления ADS сервер Exchange мог использовать активный каталог для хранения своих объектов. Системным администраторам приходилось конфигурировать два идентификатора пользователя для одного человека: учетную запись пользователя в домене Windows NT, чтобы можно было зарегистрироваться в системе, и пользователя в Exchange Directory. Это было необходимо, так как для пользователей требовалась дополнительная информация (такая как адреса e-mail, телефонные номера и так далее), а данные о пользователях домена NT были нерасширяемыми, что не позволяло поместить туда требуемую информацию. Теперь системному администратору достаточно сконфигурировать только одного пользователя для человека в активном каталоге, данные объекта пользователя можно расширять, чтобы удовлетворить требованиям Exchange Server. Мы можем также расширить эту информацию.

Рассмотрим менеджера проекта в большой компании, который ищет с помощью Active Directory разработчика, способного создать приложения с помощью C#. Было бы неплохо, если бы менеджер мог сделать простой запрос для получения списка всех разработчиков, удовлетворяющих его требованиям. Такую возможность предоставляет активный каталог, в котором объект пользователя дополняется списком навыков.

Рассмотрим другой пример, где активный каталог может сыграть полезную роль: допустим, сконфигурирован используемый по умолчанию черно-белый принтер, но потребовалась цветная печать. Пользователь знает, что в пределах досягаемости имеется цветной принтер, который удовлетворяет требованиям, но какое у этого принтера имя? В диалоговом окне печати принтер можно выбирать из списка сотен странных имен типа Pikachu, Poliwag, Cloyster, Jynx, Staryu, которые когда-то выбрал системный администратор. Как выбрать правильный принтер? Давайте создадим решение, где пользователь может ввести такие требования, как расположение, двусторонняя печать и цвет для поиска принтера. Такая дополнительная информация о принтере также хранится в активном каталоге.

С помощью среды .NET можно легко получить доступ и манипулировать данными в службе каталога с помощью классов из пространства имен

System.DirectoryServices

Отметим, что для примеров в этой главе требуется Windows 2000 Server с установленным и сконфигурированным активным каталогом (Active Directory). После небольшой адаптации вы можете использовать классы пространства имен

System.DirectoryServices

, применяющиеся для службы каталогов Novell и Windows NT4.

В этой главе мы рассмотрим:

□ Архитектуру активного каталога.

□ Чтение и изменение данных в активном каталоге.

□ Поиск объектов в активном каталоге.

Здесь мы рассмотрим, как работает активный каталог, для чего он используется и какие данные можно в нем хранить.

Свойства активного каталога представлены в следующем списке:

□ Данные в активном каталоге группируются иерархически. Объекты могут храниться внутри других объектов-контейнеров. Вместо того чтобы входить в один большой список, пользователи могут группироваться внутри организационных единиц. Организационная единица включает в себя другие организационные единицы, и таким образом можно построить дерево.

□ Активный каталог использует репликацию мультимастера. В противоположность доменам Windows NT 4, где контроллер первичного домена был мастером, при использовании активного каталога все серверы являются мастерами. Если первичный контроллер домена в домене Windows NT 4 выключен, ни один пользователь не может сменить пароль; системный администратор обновляет список пользователей только в том случае, когда первичный контроллер домена включен и работает. При использовании активного каталога обновление можно делать на любом сервере. Эта модель более масштабируема, так как обновления могут происходить на различных серверах одновременно. Недостатком такой модели является большая сложность репликации. Вопросы репликации мы рассмотрим позже.

□ Топология репликации является гибкой, чтобы поддерживать репликации на медленных соединениях в WAN. Как часто должны реплицироваться данные, конфигурируется администраторами доменов.

□ Активный каталог поддерживает открытые стандарты. LDAP (Lightweight Directory Access Protocol — легковесный протокол доступа к каталогу), является одним из стандартов, который может использоваться для доступа к данным в активном каталоге. LDAP является стандартом Интернета, который может использоваться для доступа ко множеству различных служб каталога. Так как LDAP также является интерфейсом программирования, то определен LDAP API, который можно применять для доступа к активному каталогу с помощью языка C. Предпочтительный интерфейс программирования компании Microsoft для служб каталога — это ADSI (Active Directory Service Interface — интерфейс служб активного каталога). Его конечно, нельзя назвать открытым стандартом. В противоположность LDAP API с помощью ADSI можно получить доступ ко всем свойствам активного каталога. Другим стандартом, который используется в активном каталоге, является Kerberos. Kerberos используется для аутентификации. Служба Kerberos в Windows 2000 может также применяться для аутентификации клиентов Unix. Это не работает в обратную сторону; серверы Unix Kerberos не могут аутентифицировать клиентов Windows 2000, так как компания Microsoft расширила протокол Kerberos для своего собственного использования.

□ При использовании активного каталога мы имеем детально структурированную систему безопасности. Каждый объект, хранящийся в активном каталоге, имеет связанный список управления доступом, определяющий, кто и какие действия может производить с объектом.

Объекты в каталоге являются строго типизированными. Это означает, что тип объектов точно определен, к объекту нельзя добавить ни одного не специфицированного атрибута. В схеме (Schema) определены типы объектов, а также части объектов (атрибуты). Атрибуты могут быть обязательными или необязательными.

Прежде чем программировать для активного каталога, необходимо познакомиться с некоторыми концепциями. Существует много новых терминов, которые надо знать при разговоре об активном каталоге.

В активном каталоге хранятся объекты. Объект — это что-то конкретное, например пользователь, принтер или общий сетевой ресурс. Объекты имеют обязательные и необязательные атрибуты, которые описывают объект. Примерами атрибутов объекта user (пользователь) являются фамилия, имя, адрес e-mail, телефонный номер и т. д.

На следующем рисунке показаны: контейнерный объект Wrox Press, несколько объектов пользователей, контакт, принтер и объект группы пользователей:

Каждый объект является экземпляром класса в схеме (schema). Схема хранится среди объектов активного каталога. Мы должны различать

classSchema

attributeSchema

classSchema

attributeSchema

Можно пользоваться собственными типами и атрибутами и добавить их к схеме. Помните, что новый тип схемы вам не удастся убрать из активного каталога. Можно пометить его как неактивный, чтобы новые объекты больше нельзя было создавать, но могут существовать объекты этого типа, поэтому невозможно удалить классы или атрибуты, которые определены в схеме. Windows 2000 Administrator не имеет достаточных полномочий для создания новых записей схемы, здесь нужен Windows 2000 Domain Enterprise Administrator.

В активном каталоге хранятся не только объекты, но и определения классов (в схеме) и конфигурация. Конфигурация активного каталога хранит информацию обо всех сайтах, интервалах репликации и т.д., которая задается системным администратором. К конфигурационной информации можно получить доступ, как ко всем другим объектам в активном каталоге.

Домен является границей безопасности сети Windows. В домене активного каталога объекты хранятся в иерархическом порядке. Сам активный каталог состоит из одного или нескольких доменов. Иерархический порядок объектов представлен на рисунке ниже. Контейнерные объекты, такие как

Users

Computers

Books

На следующем рисунке мы видим домен, который представлен треугольником. Каждый овал на рисунке представляет объект, линии между объектами показывают отношения предок/потомок.

Books

.NET

Java

Pro C#

Beg C#

ASP.NET

Один домен может иметь несколько серверов, каждый из которых хранит все объекты внутри домена. Не существует мастер-сервера, и все серверы интерпретируются одинаково; мы имеем модель с несколькими мастерами. Объекты реплицируются между серверами внутри домена.

На следующем рисунке домен

Wrox.com

Сайт является местоположением в сети, содержащим серверы активного каталога (контроллеры домена). Если имеется несколько местоположений на предприятии, соединенных медленными сетевыми связями, то можно использовать несколько сайтов для одного домена. Для целей резервного копирования или масштабирования каждый сайт имеет один или несколько выполняющихся контроллеров доменов. Репликация между серверами на сайте может происходить с более короткими интервалами в связи с более быстрым сетевым соединением. Репликация между серверами на различных сайтах конфигурируется с большими интервалами времени, в зависимости от скорости сети. Конечно, это может сконфигурировать администратор домена.

На следующем рисунке показан один домен

Wrox.com

Несколько доменов могут соединяться доверительными отношениями. Эти домены совместно используют общую схему, общую конфигурацию и глобальный каталог. Общая схема и общая конфигурация означают, что эти данные реплицируются между доменами. Деревья доменов совместно используют одну и ту же схему классов и атрибутов. Сами объекты не реплицируются между доменами.

Домены, соединенные таким образом, называются деревом доменов. Домены в дереве доменов имеют непрерывное иерархическое пространство имен. Это означает, что имя домена-потомка добавляется к имени домена-предка. Между доменами устанавливаются доверительные отношения, использующие протокол Kerberos.

На следующем рисунке показан корневой домен

wrox.com

france.wrox.com

uk.wrox.com

Соединение множества деревьев доменов с помощью общей схемы, общая конфигурация и глобальный каталог без непрерывного пространства имен называется лесом. Лес является множеством деревьев доменов. Лес может иметь место, если у компании есть филиал, где должно применяться другое имя домена. Предположим, что домен

asptoday.com

wrox.com

asptoday.com

wrox.com

Поиск объекта может охватывать несколько доменов. Если ищется объект определенного пользователя с некоторыми атгрибутами, то необходимо вести поиск в каждом домене. Начиная с

wrox.com

uk.wrox.com

france.wrox.com

Чтобы ускорить поиск, все объекты копируются в глобальный каталог. Глобальный каталог реплицируется в каждый домен леса. Существует по крайней мере один сервер в каждом домене, содержащий глобальный каталог. По соображениям производительности и масштабируемости можно иметь в домене более одного сервера с глобальным каталогом. С помощью глобального каталога поиск по всем объектам может вестись на одном сервере.

На следующем рисунке мы видим три домена в дереве доменов. Каждый из этих доменов имеет глобальный каталог. По умолчанию глобальный каталог устанавливается на первом контроллере домена, но могут быть добавлены дополнительные каталоги:

Глобальный каталог является для всех объектов кэш-памятью только для чтения. Каталог может применяться лишь для поиска; для выполнения обновлений должны использоваться контроллеры доменов.

Не все атрибуты объекта хранятся в глобальном каталоге. Можно определить, должен ли он храниться там или нет. Решение о необходимости хранения атрибута в глобальном каталоге зависит от частоты использования его при поиске. Изображение пользователя бесполезно в глобальном каталоге, так как вряд ли поиск будет осуществиться по изображению. Вместо этого полезным добавлением для хранения был бы номер телефона. Атрибут можно также использовать для уточнения того, что он должен быть проиндексирован, с целью ускорения запроса этого атрибута.

Как программисты мы не будем конфигурировать репликацию, но так как она является важным аспектом данных, которые хранятся в активном каталоге, необходимо знать, как она работает. Активный каталог использует архитектуру серверов с несколькими мастерами. Обновления могут и будут происходить на каждом контроллере домена в домене. Задержка репликации определяет, сколько времени потребуется для выполнения обновлений.

□ Конфигурируемое уведомление об изменении происходит внутри сайта по умолчанию каждые 5 минут, если изменяются некоторые атрибуты. Сервер, где происходит изменение, информирует все серверы по очереди с 30-секундным интервалом. В дальнейшем сервер может получать уведомление об изменении через 7 минут. По умолчанию уведомление об изменении между сайтами задается равным 180 минутам. Внутри- и межсайтная репликация может быть сконфигурирована на другие значения.

□ Если никаких изменений не происходит, плановая репликация выполняется каждые 60 минут внутри сайта. Это служит гарантией того, что уведомление об изменении не будет пропущено.

□ Для информации, чувствительной к безопасности, такой как блокирование учетной записи, может происходить немедленное уведомление.

Изменения при репликации копируются в контроллеры доменов. Для каждого изменения атрибута записываются номер версии (USN — номер последовательности обновления) и отметка времени. Они используются для разрешения конфликтов, если обновления происходят в одном и том же атрибуте на различных серверах.

Рассмотрим пример. Атрибут "мобильный телефон" пользователя Джона Доу имеет номер USN 47. Это значение уже реплицировано во все контроллеры доменов. Один системный администратор изменяет телефонный номер. Изменение происходит на сервере DC1, новый USN этого атрибута на сервере DC1 теперь будет 48, а остальные контроллеры доменов по прежнему имеют USN, равным 47. Если кто-то все еще читает атрибут, то он может считать старое значение, так как репликация еще не произошла на всех контроллерах доменов.

Теперь может произойти редкий случай, когда другой администратор изменяет атрибут "телефонный номер", и здесь был выбран другой контроллер домена, так как этот администратор получил более быстрый ответ от сервера DC2. USN этого атрибута на сервере DC2 также изменяется на 48.

Через заданный интервал происходит уведомление, так как USN атрибута изменился, и последний раз репликация происходила со значением USN, равным 47. С помощью механизма репликации теперь обнаруживается, что серверы DC1 и DC2 оба имеют USN, равный 48, для атрибута "номер телефона". Какой сервер будет победителем в действительности не имеет значения, но один сервер должен выиграть. Чтобы разрешить этот конфликт, используется отметка времени изменения. Так как изменение произошло позднее на DC2, то будет реплицировано значение, которое хранится в контроллере домена DC2.

При считывании объектов мы должны знать, что данные не обязательно будут актуальны. Актуальность данных зависит от задержек репликации.

При обновлении объектов другой пользователь может по-прежнему прочитать некоторые старые значения после обновления. Также возможно, что различные обновления будут происходить в одно время.

Активный каталог не заменяет реляционную базу данных или реестр. Какие же данные могут там хранится?

□ В активном каталоге имеются иерархические данные. Мы можем иметь контейнеры, в которых опять же хранятся контейнеры, а также объекты. Сами контейнеры тоже являются объектами.

□ Данные должны использоваться в основном для чтения. Так как мы имеем репликацию, которая происходит с некоторым задаваемым интервалом времени, мы не можем быть уверены, что прочитаем своевременные данные. В приложениях необходимо учитывать, что прочитанная информация, возможно, не является реальной современной информацией.

□ Данные представляют глобальный интерес для предприятия. Добавление нового типа данных в схему реплицирует его на серверы предприятия. Если типы данных представляют интерес только для небольшого числа пользователей, то администратор домена предприятия не будет устанавливать новые типы схемы.

□ Данные должны иметь разумный размер в связи с репликацией. Если размер данных равен 100Кбайт, то имеет смысл хранить их в каталоге, если данные изменяются только раз в неделю. Данные такого размера слишком велики, если они изменяются каждый час. Всегда помните о репликации — куда будут пересылаться данные и с какими интервалами времени. Если имеется большой объем данных, то можно поместить в активный каталог ссылку, а сами данные хранить в другом месте.

Суммируя, можно сказать, что хранимые в активном каталоге данные должны быть иерархически организованны, иметь разумный размер и быть важными для предприятия.

Объекты активного каталога являются строго типизированными. Схема определяет типы объектов, обязательные и необязательные атрибуты, а также синтаксис и ограничения атрибутов. Сама схема хранится как объекты в хранилище данных активного каталога. В схеме можно различить объекты схемы классов и схемы атрибутов. Класс является совокупностью атрибутов. С помощью классов поддерживается одиночное наследование. Как можно видеть на следующей диаграмме классов, класс

user

organizationalPerson

organizationalPerson

person

top

classSchema

systemMayContain

На диаграмме перечислены лишь немногие из всех значений

systemMayContain

ADSIEdit

top

cn

displayName

objectGUID

whenChanged

whenCreated

Person

top

Person

userPassword

telephoneNumber

organizationalPerson

Person

Person

manager

department

company

user

На самом деле мы не будем говорить об управлении активным каталогом. За управление отвечают системные администраторы Windows 2000, а мы хотим поговорить о программировании активного каталога. Однако рассмотрение некоторых инструментов управления может помочь понять, что такое активный каталог, какие данных в нем находятся, и что можно сделать программным путем.

Системный администратор имеет множество инструментов для ввода новых данных, обновления данных и для конфигурирования активного каталога. С помощью инструмента Active Directory Users and Computers (Пользователи и компьютеры активного каталога) можно обновить данные о пользователях и ввести новых пользователей. Инструмент Active Directory Sites and Services используется для конфигурирования сайтов в домене и репликации между этими сайтами. ActiveDirectory Domains and Trusts может применяться для создания доверительных отношений между доменами в дереве. Редактором реестра для активного каталога, где можно просмотреть и отредактировать каждый объект, является ADSI Edit. В дополнение к инструментам системного администратора имеется инструмент в SDK платформы Microsoft: ADSI Viewer.

Утилита Active Directory Users and Computers является инструментом, который в основном служит системным администраторам для управления своими пользователями. Start|Programs|Administrative Tools|Active Directory Users and Computers: 

С помощью этой утилиты можно добавлять новых пользователей, группы, контакты, организационные единицы, принтеры, общие папки, компьютеры, и модифицировать существующие. На изображении ниже можно видеть атрибуты, которые вводятся для объекта пользователь (user): офис, номера телефонов, адреса e-mail, web-страницы, информация об организации, адреса, группы и т.д., т.е. значительно больше информации, чем было возможно в домене NT 4:

Утилита Active Directory Users and Computers может также использоваться на больших предприятиях с миллионами объектов. Не обязательно просматривать список с тысячами объектов, можно выбрать специальный фильтр, чтобы выводились только некоторые объекты. Можно также сделать запрос LDAP для поиска объектов на предприятии.

ADSI Edit является редактором реестра активного каталога. Эта утилита не устанавливается автоматически. На компакт-диске Windows 2000 Server можно найти каталог с именем

Supporting Tools

Простая в использовании утилита Active Directory Users and Computers имеет фиксированный интерфейс пользователя для изменения атрибутов объектов пользователя. Мы не увидим атрибутов, которые добавляются к схеме в интерфейсе пользователя этой утилиты, управляемом мышью. Все можно сконфигурировать с помощью ADSI Edit, мы можем также просмотреть схему и конфигурацию. Эта утилита, однако, не так проста в использовании, и очень легко ввести неправильные данные:

Открывая окно Properties (Свойства) объекта, можно изменить любой атрибут объекта в активном каталоге. Мы видим обязательные, дополнительные атрибуты, типы и значения атрибутов:

Установим также браузер активного каталога как часть SDK платформы Microsoft. SDK платформы Microsoft не является частью дистрибутива Visual Studio.NET. Вы получаете компакт-диск с подпиской на MSDN или загружаете его с web-сайта MSDN. После установки SDK платформы можно запустить утилиту с помощью пункта меню Start|Programs|Microsoft Platform SDK|Tools|ADSI Viewer.

ADSI Viewer имеет два режима. С помощью File|New можно запустить запрос или использовать Object Viewer для вывода и изменения атрибутов объектов. После запуска Object Viewer можно определить путь доступа LDAP, а также имя пользователя и пароль, чтобы открыть объект. Вскоре, когда мы начнем делать это программным путем, вы увидите, какую форму может иметь путь доступа LDAP. Здесь определяется

LDAP://OU=Wrox Press, DC=eichkogelstrasse, DC=local

Если определяемый объект с путем доступа и именем пользователя и паролем является допустимым, мы получаем экран Object Viewer где можно видеть и изменять свойства объекта и объектов-потомков:

Интерфейсы службы активного каталога (ADSI) являются программным интерфейсом к службам каталога. ADSI определяет некоторые интерфейсы COM, которые реализуются провайдерами ADSI. Это означает, что клиент может использовать различные службы каталога с одними и теми же программными интерфейсами. Классы среды .NET в пространстве имен

System.DirectoryServices

На следующем рисунке можно видеть некоторых провайдеров ADSI (LDAP, WinNT, NDS), которые реализуют интерфейсы COM, такие как

IAD

IUnknown

System.DirectoryServices

Чтобы разрабатывать программы для активного каталога, мы используем классы из пространства имен

System.DirectoryServices

В следующих сегментах кода простое консольное приложение C# демонстрирует применение классов в пространстве имен

System.DirectoryServices

Следующая таблица показывает основные классы в пространстве имен

System.DirectoryServices

Чтобы получить значения объекта в активном каталоге, мы должны соединиться с активным каталогом. Процесс соединения называется связыванием. Путь доступа связывания может выглядеть следующим образом:

LDAP://dc01.globalknowledge.net/OU=Marketing, DC=GlobalKnowledge, DC=Com

Во время процесса связывания можно определить следующие позиции:

□ Протокол, определяющий используемого провайдера.

□ Имя сервера контроллера домена.

□ Номер порта серверного процесса.

□ Известное имя объекта для идентификации объекта, к которому требуется доступ.

□ Имя пользователя и пароль, если требуется другой пользователь для доступа к активному каталогу.

□ Можно также определить тип аутентификации, если требуется шифрование.

Первая часть пути связывания определяет провайдера ADSI. Провайдер реализован как сервер COM; для идентификации можно найти идентификатор программы прямо в ключе

HKEY_CLASSES_ROOT

Имя сервера следует за протоколом в строке соединения. Имя сервера является не обязательным, если вы зарегистрировались в домене активного каталога. Без имени сервера происходит связывание без сервера; это означает, что Windows 2000 пытается получить "лучший" контроллер домена в домене, который ассоциирован с пользователем, выполняющим связывание. Если внутри сайта нет сервера, будет использоваться первый найденный контроллер домена.

Связывание без сервера может выглядеть следующим образом:

LDAP://OU=Sales, DC=GlobalKnowladge, DC=Com

После имени сервера можно определить номер порта серверного процесса, используя синтаксис

:xxx

LDAP://dc01.globalknowledge.net:389

Четвертая часть, которую мы должны определить в пути доступа,— это известное имя (DN — Distinguished Name). Известное имя является гарантированным уникальным именем, идентифицирующим объект, к которому требуется доступ. В активном каталоге для определения имени объекта можно использовать синтаксис LDAP, который основывается на X.500.

Известное имя

CN=Christian Nagel, OU=Trainer, DC=GlobalKnowledge, DC=com

определяет общее имя (

CN

OU

DC

Спецификацию LDAP для строкового представления известных имен можно найти в RFC 2253:

www.ietf.org/rfc/rfc2253.txt

Относительное известное имя (RDN) используется для ссылки на объект внутри контейнерного объекта. Для RDN спецификации OU и DC не требуются, будет достаточно общего имени.

CN=Christian Nagel

Если известное имя не определено в пути доступа, процесс связывания будет выполняться в используемом по умолчанию именующем контексте. Можно считать используемый по умолчанию именующий контекст с помощью

rootDSE

LDAP://rootDSE

LDAP://servername/rootDSE

Перечисляя все свойства

rootDSE

defaultNamingContext

schemaNamingContext

configurationNamingContext

Следующий код используется для получения всех свойств

rootDSE

DirectoryEntry

using (DirectoryEntry de = new DirectoryEntry()) {

 de.Path = "LDAP://celtlcrain/rootDSE";

 de.Username = @"sentinel\chris";

 de.Password = "mausemaus3";

 PropertyCollection props = de.Properties;

 foreach (string prop in props.PropertyNames) {

  PropertyValueCollection values = props[prop];

  foreach (string val in values) {

   Console.Write(prop + ": ");

   Console.WriteLine(val);.

  }

 }

}

Помимо других свойств результат вывода этой программы показывает

defaultNamingContext DC=eichkogelstrasse, DC=local

CN=Schema, CN=Configuration, DC=eichkogelstrasse, DC=local

CN=Configuration, DC=eichkogelstrasse, DC=local

Каждый объект имеет уникальный идентификатор — GUID. GUID является уникальным 128-битовым числом. Мы можем с соединиться с объектом, используя GUID. Таким образом, мы всегда получаем тот же самый объект, даже если объект был перемещен в другой контейнер. GUID генерируется при создании объекта и всегда остается тем же самым.

Можно получить строковое представление GUID с помощью

DirectoryEntry.NativeGuid

Следующий пример показывает имя пути доступа для связывания без сервера со специфическим объектом, представленным GUID:

LDAP://<GUID=14abbd652aae1a47abc60782dcfc78ea>

Провайдер WinNT не допускает синтаксис LDAP в части имени строки связывания. Для этого провайдера объект определяется с помощью

ObjectName

ClassName

WinNT:

WinNT://DomainName

WinNT://DomairName/UserName, user

WinNT://DomainName/dc01/MyGroup, group

Если другой пользователь, отличный от зарегистрированного, должен использоваться для доступа к каталогу, так как зарегистрированный пользователь не имеет требуемых полномочий для доступа к активному каталогу, то должны определяться явные полномочия пользователя для процесса связывания. Для активного каталога имеется ряд способов задания имени пользователя.

Для низкоуровневой регистрации имя пользователя можно определить с помощью имени домена:

domain\username

Пользователя можно определить также с помощью известного имени объекта пользователя, например:

CN=Administrator, CN=Users, DC=eichkogelstrasse, DC=local

UPN объекта определяется с помощью атрибута

userPrincipalName

Account

User

Эта информация также уникальным образом определяет пользователя и может использоваться для регистрации:

Nagel@eichkogestrasse.local

Для безопасной зашифрованной аутентификации можно также определить тип аутентификации. Аутентификация может задаваться с помощью свойства

AuthenticationType

DirectoryEntry

AuthenticationTypes

Класс

System.DirectoryServices.DirectoryEntry

Path

Username

Password

AuthenticationType

using (DirectoryEntry de = new DirectoryEntry()) {

 de.Path = "LDAP://celticrain/DC=eichkogelstrasse, DC=local";

 de.Username = "nagel@eichkogelstrasse.local";

 de.Password = "someSecret";

 // использовать полномочия текущего пользователя

 DirectoryEntry de2 = new DirectoryEntry("LDAP://DC=eichkogelstrasse, DC=local");

Даже если создание объекта

DirectoryEntry

Теперь, когда мы знаем, как определить атрибута связывания с объектом в активном каталоге, давайте прочитаем атрибуты объекта.

Класс

DirectoryEntry

Name

Guid

SchemaClassName

DirectoryEntry

В следующем примере мы обращаемся к объекту пользователя с общим именем Christian Nagel в организационной единице Wrox Press.

DirectoryEntry de = new DirectoryEntry();

de.Path = "LDAP://celticrain/CN=Christian Nagel, " +

 "OU=Wrox Press, DC=eichkogelstrasse, DC=local";

Console.WriteLine("Name: "+ de.Name);

Console.WriteLine("GUID: " + de.Guid);

Console.WriteLine("Type: " + de.SchemaClassName);

Console.WriteLine();

Объект активного каталога содержит значительно больше информации. Доступность информации зависит от типа объекта. Чтобы получить всю информацию об объекте, свойство

Properties

PropertyCollection

foreach

properties[name]

ToString()

Console.WriteLine("Attributes: ");

PropertyCollection properties = de.Properties;

foreach (string name in properties.PropertyNames) {

 foreach (object о in properties[name]) {

  Console.WriteLine(name + ": " + o.ToString());

 }

}

В выходных результатах мы видим все атрибуты объекта пользователя Christian Nagel. Заметим, что otherTelephone является многозначным свойством, которое содержит несколько телефонных номеров. Некоторые из значений свойств просто выводят тип объекта

System._ComObject

System.DirectoryServices

В главе 19 можно прочитать, как работать с объектам и и интерфейсами COM.

Для получения дополнительной информации об ADSI можно прочитать книгу Simon Robinson, Professional ADSI Programming, Wrox Press, ISBN 1-861002-26-2.

С помощью

DirectoryEntry.Properties

foreach (string homePage in de.Properties["wWWHomePage"])

 Console.WriteLine("Home page; " + homePage);

Объекты хранятся в активном каталоге иерархически. В контейнерных объектах содержатся объекты-потомки. Их можно перечислить с помощью свойства

Children

DirectoryEntry

Parent

Объект пользователя не имеет потомков, поэтому воспользуемся теперь организационной единицей. Давайте получим все объекты пользователей из организационной единицы Wrox Press в домене eichkogelstrasse.local. Свойство

Children

DirectoryEntries

DirectoryEntry

DirectoryEntry

DirectoryEntry de = new DirectoryEntry();

de.Path. = "LDAP://celticrain/OU=Wrox Press, " + "DC=eichkogelstrasse, DC=local";

Console.WriteLine("Children of " + de.Name);

foreach (DirectoryEntry obj in de.Children) {

 Console.WriteLine(obj.Name);

}

В данном примере мы видим все объекты в организационной единице: пользователей, контакты, принтеры, общие ресурсы и другие организационные единицы. Если нужно увидеть только некоторые типы объектов, можно использовать свойство

SchemaFilter

DirectoryEntries

DirectoryEntry de = new DirectoryEntry();

de.Path = "LDAP://celticrain/OU=Wrox Press, " + "DC=eichkogelstrasse, DC-local";

Console.WriteLine("Children of " + de.Name);

de.Children.SchemaFilter.Add("user");

foreach(DirectoryEntry obj in de.Children) {

 Console.WriteLine(obj.Name);

}

В результате мы видим в организационной единице только объекты пользователей:

Чтобы уменьшить сетевой трафик, ADSI использует кэш для свойств объектов. Как было показано ранее, обращение к серверу не происходит при создании объекта

DirectoryEntry

DirectoryEntry.UsePropertyCache

false

Запись изменений в объекты также происходит только в кэше. Задание множества свойств не генерирует сетевого трафика. Метод

DirectoryEntry.CommitChanges()

DirectoryEntry.RefreshCache()

UsePropertyCache

false

Объекты в активном каталоге обновляются так же легко, как и читаются. Изменение значений возможно после считывания объекта. Чтобы удалить все значения одного свойства, может вызываться метод

PropertyValueCollection.Clear()

Add()

Remove()

RemoveAt()

using (DirectoryEntry de = new DirectoryEntry!)) {

 de.Path =

  "LDAP://celticrain/CN=Christian Nagel, " +

  "OU=Wrox Press, DC=eichkogelstrasse, DC=local";

 if (de.Properties.Contains("mobile")) {

  de.Properties["mobile"][0] = "+43 (664) 3434343434";

 }

 de.CommitChanges();

}

Чтобы изменить значение, зададим ему определенное значение. Посредством следующей строки кода для номера мобильного телефона задается новое значение, если оно существует, с использованием индекса

PropertyValueCollection

DirectoryEntry.Properties.Contains()

de.Properties["mobile"][0] = "+43 (664) 3434343434";

He забудьте вызвать метод

DirectoryEntry.CommitChanges()

после создания или обновления новых объектов каталога. Иначе обновляется только кэш, а изменения не посылаются службе каталога.

Новые объекты активного каталога, такие как пользователи, компьютеры, принтеры, контакты и другие программным путем можно создать с помощью класса

DirectoryEntries

Чтобы добавить новые объекты в каталог, мы должны сначала соединиться с объектом-контейнером, подобным организационной единице, куда можно вставить новые объекты. Объекты, которые не могут содержать другие объекты, использовать нельзя. Здесь используется контейнерный объект с известным именем

CN=Users, DC=eichkogelstrasse, DC=local

DirectoryEntry de = new DirectoryEntry();

de.Path = "LDAP://celticrain/CN=Users, " +

 "DC=eichkogelstrasse, DC=local";

Можно получить доступ к объекту

DirectoryEntries

Children

DirectoryEntry

DirectoryEntries users = de.Children;

Объект

DirectoryEntries

Add()

DirectoryEntry user = users.Add("John Doe", "user");

Объект теперь имеет значения свойств по умолчанию. Чтобы присвоить специальные значения свойств, можно добавить свойства с помощью метода

Add()

Properties

COMException

COMException

user.Properties["company"].Add("Some Company");

user.Properties["department"].Add("Sales");

user.properties["employeeID"].Add("4711");

user.Properties["samAccountName"].Add("John Doe");

user.Properties["userPassword"].Add("someSecret");

В данный момент не все данные записаны в активный каталог. Необходимо очистить кэш:

user.CommitChanges();

Большую часть времени активный каталог будет использоваться для поиска некоторых значений. Это хранилище данных, которое оптимизировано в основном для чтения, поэтому данные будут в основном считываться.

Для поиска в активном каталоге платформа .NET имеет класс

DirectorySearcher

Мы можем использовать поиск только с провайдером LDAP.

DirectorySearcher

не работает с провайдерами NDS или IIS.

В конструкторе класса

DirectorySearcher

Корень поиска (

SearchRoot

SearchRoot

SearchRoot

Path

DirectoryEntry

Фильтр (Filter) определяет значения, которые мы хотим найти. Фильтр является строкой, которая должна быть заключена в круглые скобки.

Операторы отношений, такие как

<=

=

>=

objectClass = contact

contact

lastName>=Nagel

lastName

Nagel

Выражения могут комбинироваться с префиксными операциями

&

|

&(objectClass=user)(description=Auth*)

user

description

Auth

&

|

По умолчанию используется фильтр (

objectClass=*

www.ietf.org/rfc/rfc2254.txt

С помощью

PropertiesToLoad

StringCollection

Path

Name

SearchScope

□ 

SearchScope.Base

□ Для

SearchScope.OneLevel

□

SearchScope.Subtree

По умолчанию для

SearchScope

Subtree

Такой поиск может охватывать несколько доменов. Чтобы ограничить поиск некоторым числом объектов или требуемым временем, необходимо определить несколько дополнительных свойств.

В рассматриваемом примере поиска мы хотим найти все объекты пользователей в организационной единице Wrox Press, где свойство

description

Author

Сначала мы соединяемся с организационной единицей Wrox Press. Здесь начинается поиск. Создадим объект

DirectorySearcher

SearchRoot

&(objectClass=user)(description=Auth*)

user

description

Auth

DirectoryEntry de new DirectoryEntry();

de.Path = "LDAP://OU=Wrox Press, " + "DC=eichkogelstrasse, DC=local";

DirectorySearcher searcher = new DirectorySearcher();

searcher.SearchRoot  = de;

searcher.Filter = "(&(objectClass=user)(description=Auth*))";

searcher.SearchScope = SearchScope.Subtree;

В результате поиска мы хотим получить свойства

name

description

givenName

wWWHomePage

searcher.PropertiesToLoad.Add("name");

searcher.PropertiesToLoad.Add("description");

searcher. PropertiesToLoad.Add("givenName");

searcher.PropertiesToLoad.Add("wWWHomePage");

Мы готовы начать поиск. Однако, результат необходимо отсортировать.

DirectorySearcher

Sort

SortOption

SortOption

SortDirection

Ascending

Descending

Чтобы начать поиск, можно использовать метод

FindOne()

FindAll()

FindOne()

SearchResult

FindAll()

SearchResultCollection

FindAll()

searcher.Sort = new SortOption("givenName", SortDirection.Ascending);

SearchResultCollection Results = searcher.FindAll();

С помощью цикла

foreach

SearchResult

SearchResultCollection

SearchResult

Properties

ResultPropertyCollection

SearchResultCollection results = Searcher.FindAll();

 foreach (SearchResult result in results) {

  ResutPropertyCollection props = result.Properties;

  foreach (string propName in props.PropertyNames) {

   Console.Write(propName + ": ");

   Console.WriteLine(props[propName][0]);

  }

  Console.WriteLine();

 }

}

Если необходимо получить весь объект после поиска, то это также возможна.

SearchResult

GetDirectoryEntry()

DirectoryEntry

Результирующий вывод показывает начале списка всех авторов книги Professional C# с выбранными свойствами

Последнее приложение, которое будет создано в этой главе, это приложение Windows Forms. С его помощью можно найти все объекты пользователей домена с динамически определяемой строкой фильтра. Можно также задать свойства объектов пользователей, которые должны выводиться.

Интерфейс пользователя выводит нумерованные шаги, помогая использовать приложение.

1. На первом шаге можно ввести имя пользователя, пароль и контроллер домена. Вся эта информация является необязательной. Если контроллер домена не вводится, то соединение работает со связыванием без сервера. Если отсутствует имя пользователя, то используется контекст безопасности текущего пользователя.

2. С помощью кнопки все имена свойств объекта

User

ListBoxProperties

3. После загрузки имен свойств, можно выбрать свойства, которые должны выводиться. Режим

SelectionMode

MultiSimple

4. Можно ввести фильтр для ограничения поиска. Значение по умолчанию, которое задается в этом диалоговом окне, ищет все объекты пользователей: (

objectClass=user

5. Теперь можно начать поиск.

Это приложение имеет только два метода обработки событий: первый метод — обработчик для кнопки загрузки свойств и второй — для запуска поиска в домене. В первой части мы динамически считываем свойства класса

User

В методе-обработчике

buttonLoadProperties_Click()

SetLogonInformation()

SetNamingContext()

SetUserProperties()

private void buttonLoadProperties_Click(object sender, System.EventArgs e) {

 try {

  SetLogonInformation();

  SetNamingContext();

  SetUserProperties(schemaNamingContext);

 } catch (Exception ex) {

MessageBox.Show("Cheek your inputs! " + ex.Message);

 }

}

protected void SetLogonInformation() {

 username =

  (textBoxUsername.Text == "" ? null :

  textBoxUsername.Text);

 password =

  (textBoxPassword.Text == "" ? null :

  textBoxPassword.Text);

 hostname = textBoxHostname.Text;

 if (hostname ! = "") hostname += "/";

}

Во вспомогательном методе

SetNamingContext()

SchemaNamingContext

protected string SetNamingContext() {

 using (DirectoryEntry de = new DirectoryEntry()) {

  string path = "LDAP://" + hostname + "/rootDSE";

 de.Username = username;

 de.Password = password;

 de.Path = path;

 schemaNamingContext =

  de.Properties["schemaNamingContext"][0].ToString();

 defaultNamingContext =

  de.Properties["defaultNamingContext"][0].ToString();

 }

}

У нас есть имя LDAP для доступа к схеме. Можно использовать его для доступа к каталогу и для считывания свойств. Мы заинтересованы не только в свойствах класса User, но также в свойствах базовых классов для

User

Organizational-Person

Person

Top

subClassOf

GetSchemaProperties()

properties

StringCollection

protected void SetUserProperties(string schemaNamingContext) {

 StringCollection properties = new StringCollection();

 string[] data = GetSchemaProperties(schemaNamingContext, "User");

 properties.AddRange(GetSchemaProperties(schemaNamingContext, "Organizational-Person"));

 properties.AddRange(GetSchemaProperties(schemaNamingContext, "Person"));

 properties.AddRange(GetSchemaProperties(schemaNamingContext, "Top"));

 listBoxProperties.Items.Clear();

 foreach (string s in properties) {

  listBoxProperties.Items.Add(s);

 }

}

В методе

GetSchemaProperties()

rootDSE

systemMayContain

objectType

protected string[] GetSchemaProperties(string schemaNamingContext, string objectType) {

 string [] data;

 using (DirectoryEntry de = new DirectoryEntry()) {

  de.Username = username;

  de.Password = password;

  de.Path = "LDAP://" + hostname + "/CN=" + objectType + "," + schemaNamingContext;

  DS.PropertyCollection properties = de.Properties;

  DS.PropertyValueCollection values = properties["systemMayContain"];

  data = new String[values.Count];

  values.CopyTo(data, 0);

 }

 return data;

}

Одно интересное замечание к этому коду: в приложении Windows Forms класс

PropertyCollection

System.DirectoryServices

System.Data.PropertyCollection

System.DirectoryServices.PropertyCollection

namespace DS = System.DirectoryServices;

Именно отсюда появляется

DS.PropertyCollection

Шаг 2 приложения завершен. Окно списка (

listbox

User

Обработчик для кнопки поиска вызывает вспомогательный метод

FillResult()

private void buttonSearch_Click(object render, System.EventArgs e) {

 try {

  FillResult();

 } catch (Exception ex) {

  MessageBox.Show("Check your input: " + ex.Message)

 }

}

В методе

FillResult()

SearchScope

Subtree

Filter

TextBox

protected void FillResult() {

 using (DirectoryEntry root = new DirectoryEntry()) {

  root.Username = username;

  root.Password = password;

  root.Path = "LDAP://" + hostname + defaultNamingContext;

  using (DirectorySearcher searcher = new DirectorySearcher()) {

   seacher.SearchRoot = root;

   searcher.SearchScope = SearchScope.Subtree;

   searcher.Filter = textboxfilter.Text;

   searcher.PropertiesToLoad.AddRange(GetProperties());

   SearchResultCollection results = searcher.FindbAll();

   StringBuilder summary = new StringBuilder();

   foreach (SearchResult result in results) {

    foreach (string propName in result.Properties.PropertyNames) {

     foreach (string s in result.Properties[propName]) {

      summary.Append(" " + propName + ": " + s + "\r\n");

     }

    }

    summary.Append("\r\n");

   }

   textBoxResults.Text = summary.ToString();

  }

 }

}

Запустив приложение, мы получим список всех объектов, которые прошли через фильтр:

В этой главе рассматривалась архитектура активного каталога, важные концепции о доменах, деревьях и лесах. Теперь мы можем получить информацию обо всем предприятии. Создавая приложения, которые обращаются к активному каталогу, необходимо знать, что данные, которые мы считываем, возможно, не являются современными в связи с задержкой репликации.

С помощью классов из пространства имен

System.DirectoryServices

DirectoryEntry

С помощью класса

DirectorySearcher