ActiveDirectoryMembershipProvider -“无法建立安全连接”

Question

我正在尝试配置ActiveDirectoryMembershipProvider，但一直收到消息"Unable to establish secure connection with the server“。

我在MSDN网站上看到，我应该在我的站点上将信任级别配置为无限制，但我仍然可以得到信任级别。

下面是我的例子：

<connectionStrings>

     <add name="LocalAD" connectionString="LDAP://example.com/dc=example,dc=com" />

</connectionStrings>


<membership defaultProvider="AspNetActiveDirectoryMembershipProvider">

    <providers>

        <add name="AspNetActiveDirectoryMembershipProvider"
             type="System.Web.Security.ActiveDirectoryMembershipProvider" 
             applicationName="adtest"
             connectionUsername="cn=Users"
             connectionPassword="password"
             connectionStringName="LocalAD" >

       </add>
    </providers>
</membership>

<trust level="Full" />

<authentication mode="Forms">
      <forms loginUrl="login.aspx"
             protection="All"
             timeout="30"
             name="miBenefitsAdminToolCookie"
             path="/"
             requireSSL="false"
             slidingExpiration="true"
             defaultUrl="Default.aspx"
             cookieless="UseCookies"
             enableCrossAppRedirects="false" />

 </authentication>

 <authorization>
      <deny users="?" />
      <allow users="*" />
 </authorization>

Answer 1

您提供的内容看起来像是一个容器，而不是用于连接到AD的实际用户名。提供具有足够凭据以访问AD的用户的规范名称。请注意，如果服务器在同一个域中，运行工作进程的网络系统用户可能已经拥有足够的权限，您根本不需要提供名称/密码。

    <add name="AspNetActiveDirectoryMembershipProvider"
         type="System.Web.Security.ActiveDirectoryMembershipProvider" 
         applicationName="adtest"
         connectionUsername="cn=actualUser"
         connectionPassword="actualUsersPassword"
         connectionStringName="LocalAD">

   </add>

Answer 2

连接用户名可以具有不同的格式，具体取决于其配置方式。如果用户仅作为DN (可分辨名称)添加到用户角色，则可以使用CN=username，DC=container格式

如果将用户作为windows用户添加到用户角色，则用户名只能是用户名。

我希望这个澄清能有所帮助。