Der ASP.NET Active Directory-Mitgliedschaftsanbieter führt eine authentifizierte Bindung an Active Directory unter Verwendung eines angegebenen Benutzernamens, Kennworts und einer angegebenen "Verbindungszeichenfolge" durch. Die Verbindungszeichenfolge setzt sich aus dem Namen des LDAP-Servers und dem vollständig qualifizierten Pfad des Containerobjekts zusammen, in dem sich der angegebene Benutzer befindet.
Die Verbindungszeichenfolge beginnt mit dem URI LDAP://
.
Für den Servernamen können Sie den Namen eines Domänencontrollers in dieser Domäne verwenden. Sagen wir "dc1.corp.domain.com". Das gibt uns so LDAP://dc1.corp.domain.com/
weit.
Das nächste Bit ist der vollständig qualifizierte Pfad des Containerobjekts, in dem sich der Bindungsbenutzer befindet. Angenommen, Sie verwenden das Konto "Administrator" und der Name Ihrer Domain lautet "corp.domain.com". Das Konto "Administrator" befindet sich in einem Container mit dem Namen "Benutzer", der sich eine Ebene unterhalb des Stamms der Domäne befindet. Somit wäre die vollständige DN der „Users“ Container: CN=Users,DC=corp,DC=domain,DC=com
. Wenn sich der Benutzer, mit dem Sie binden, in einer Organisationseinheit befindet, enthält der Pfad anstelle eines Containers "OU = OU-Name".
Wenn Sie also ein Konto in einer Organisationseinheit mit dem Namen Service Accounts
einer Unterorganisationseinheit einer Organisationseinheit mit dem Namen Corp Objects
einer Unterorganisationseinheit einer Domäne mit dem Namen verwenden, wird corp.domain.com
der Pfad vollqualifiziert OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com
.
Kombinieren Sie den LDAP://dc1.corp.domain.com/
Pfad mit dem vollständig qualifizierten Pfad zu dem Container, in dem sich der Bindungsbenutzer befindet (etwa LDAP://dc1.corp.domain.com/OU=Service Accounts,OU=Corp Objects,DC=corp,DC=domain,DC=com
), und Sie haben Ihre "Verbindungszeichenfolge".
(Sie können den Domänennamen in der Verbindungszeichenfolge anstelle des Namens eines Domänencontrollers verwenden. Der Unterschied besteht darin, dass der Domänenname in die IP-Adresse eines beliebigen Domänencontrollers in der Domäne aufgelöst wird. Dies kann sowohl gut als auch schlecht sein. Sie sind nicht darauf angewiesen, dass ein einzelner Domänencontroller aktiv ist, damit der Mitgliedschaftsanbieter funktioniert. Der Name wird jedoch beispielsweise in einem Domänencontroller an einem Remotestandort mit fleckiger Netzwerkkonnektivität aufgelöst, und es können Probleme mit der Mitgliedschaft auftreten Anbieter arbeiten.)