Comment convertir WindowsIdentity à un NetworkCredential?

Comment convertir un WindowsIdentity à un NetworkCredential? Je suis en train de tester mon service WCF pour vérifier que les appelants anonymes sont bloqués. Pour ce faire, je veux faire quelque chose comme:

myProxy.ClientCredentials.Windows.ClientCredential = foo(WindowsIdentity.GetAnonymous());

où foo est une méthode qui convertit un WindowsIdentity à un NetworkCredential

Cette SORTE de Réponse me semble qu'il va répondre à votre question: stackoverflow.com/questions/2063408/...
Non, il n'est pas. Pour une chose, WindowsIdentity.GetAnonymous().Usurper l'identité d'() donne une exception. Cela est également documenté dans le msdn.microsoft.com/en-us/library/w070t6ka.aspx. InvalidOperationException Une identité anonyme a tenté d'effectuer une usurpation d'identité. Il semble comme il n'y a aucun moyen de le faire ce qui est demandé dans la question. Alors, comment fait-on vérifier qu'un service est de ne pas laisser les utilisateurs anonymes?
Votre question titre est après la conversion de WindowsIdentity à NetworkCredential, mais après re-lecture de votre question plusieurs fois, vous n'avez besoin que d'obtenir un "anonyme" de l'utilisateur? réglage des informations d'identification client à null fera l'affaire, permettra de poster du code
réglage des informations d'identification client à null ne fonctionnera pas. Vous pouvez l'essayer pour vous-même.
ok, mais cela fonctionne pour nous. Bien que vous avez trouvé une réponse 🙂

OriginalL'auteur morpheus | 2013-03-07

.net c#

3

Généralement foo n'existe pas. Depuis un NetworkCredential est un objet plus large que WindowsIdentity. C'est-à-dire que je peux utiliser NetworkCredential où j'ai besoin d'un WindowsIdentity mais pas l'inverse.

La raison en est que la sécurité.

NetworkCredential signifie que vous êtes autorisé à prendre cette Identité et de l'utilisation de ses informations d'IDENTIFICATION sur une AUTRE machine.

Cela signifie que
1. Vous avez les informations d'identification des utilisateurs, contrairement à son identité.
2. Que l'ensemble des informations d'identification qui est bon pour l'emprunt d'identité, pas seulement de l'accès local.
Je vais supposer que les informations d'identification sont venus d'une autre machine (en raison de la WCF). Encore pour des raisons de sécurité, Réseau d'informations d'Identification a été converti en un LocalCredential lors de la traversée sur cette machine (à moins que nous parlons de la Délégation plutôt que de l'usurpation d'identité). La machine client a DONNÉ le droit d'utiliser ses pouvoirs sur la machine serveur et seulement la machine serveur.

Si vous voulez obtenir le NetworkCredential en arrière, vous avez besoin de faire quelque chose qui s'appelle la Délégation, à cause de ce qu'on appelle le Multi-Hop problème. Cela implique de Kerberos, trois dirigé mal de chien des enfers. Vous ne voulez pas avoir affaire avec Kerberos.

De manière générale, par défaut WCF procurations de ne pas envoyer des informations d'identification avec leurs appels. En général, vous devez définir la ClientCredentials ou un ensemble
```
proxy.UseDefaultCredentials = true
```
Ne soit normalement pas d'informations d'identification, et donc Anonyme auth.

OriginalL'auteur Aron

Pour répondre à ma propre question:

Il n'est pas possible de convertir un WindowsIdentity à un NetworkCredential. Pour tester si anonyme que les appelants sont bloqués, d'usurper l'identité du thread en cours avec un null jeton de session, et ensuite faire un appel de service WCF. Remarque: ne pas utiliser WindowsIdentity.GetAnonymous. Cette méthode est inutile (deviner qu'elle était mal mis en œuvre, et n'a jamais été corrigé). Code pour usurper l'identité d'thread en cours avec la valeur null jeton de session (pas de gestion d'erreur est effectué):

    public static class Helper
    {
        [DllImport("kernel32.dll", CharSet = CharSet.Auto, ExactSpelling = true)]
        private static extern IntPtr GetCurrentThread();

        [DllImport("advapi32.dll", CharSet = CharSet.Auto, ExactSpelling = true)]
        private static extern bool ImpersonateAnonymousToken(IntPtr handle);

        public static void ImpersonateAnonymousUser()
        {            
            ImpersonateAnonymousToken(GetCurrentThread());
        }
    }

        static string ToString(IIdentity identity)
        {
            return string.Format("{0} {1} {2}", identity.Name, identity.IsAuthenticated, identity.AuthenticationType); 
        }

        static void Main(string[] args)
        {            
            Console.WriteLine(ToString(WindowsIdentity.GetCurrent()));
            Helper.ImpersonateAnonymousUser();
            Console.WriteLine(ToString(WindowsIdentity.GetCurrent()));
        }

De sortie:

my machine\me True NTLM
NT AUTHORITY\ANONYMOUS LOGON False

En réponse à Edmund commentaire, réglage proxy.ClientCredentials.Windows.ClientCredential à null ne va pas faire ce qui est en retrait - faire la demande d'un utilisateur anonyme. Voici mon test complet du code et de sa sortie:

Code De Service:

public class Service1 : IService1
    {
        //note that if client is not authenticated, this code will never get a chance to execute
        //exception will happen before that
        //therefore there is no need to decorate this method with a
        //[PrincipalPermission(SecurityAction.Demand, Authenticated=true)] attribute        
        public string GetData()
        {
            try
            {
                var identity = Thread.CurrentPrincipal.Identity;
                return string.Concat(identity.Name, ",", identity.IsAuthenticated, ",", identity.AuthenticationType);
            }
            catch (Exception e)
            {
                return string.Concat(e.Message, "\\r\\n", e.StackTrace);
            }
        }
    }

De configuration du Service:

<services>      
      <service name="WcfService1.Service1">
        <host>
          <baseAddresses>
            <add baseAddress="http://mymachine/Service1/" />            
          </baseAddresses>                    
        </host>
        <endpoint address="Service1"
                  binding ="customBinding"
                  bindingConfiguration="myHttpBinding"
                  contract="WcfService1.IService1">          
        </endpoint>          
      </service>
    </services>
    <bindings>      
      <customBinding>
        <binding name="myHttpBinding">
            <reliableSession/>          
            <binaryMessageEncoding />          
            <httpTransport maxBufferSize="2147483647"
                           maxReceivedMessageSize="2147483647"
                           authenticationScheme="IntegratedWindowsAuthentication" />
          </binding>
      </customBinding>
    </bindings>

Code Client:

static void MakeRequest()
        {
            try
            {
                using (var svc = new Service1Client())
                {
                    Console.WriteLine(svc.GetData());
                }
            }
            catch (Exception e)
            {
                Console.WriteLine(e.Message);
                Console.WriteLine(e.StackTrace);
            }
        }

        static void Test3()
        {            
            Console.WriteLine("using {0}", ToString(WindowsIdentity.GetCurrent()));
            MakeRequest();
            Console.WriteLine();

            Console.WriteLine("setting svc.ClientCredentials.Windows.ClientCredential to null...");
            try
            {
                using (var svc = new Service1Client())
                {
                    svc.ClientCredentials.Windows.ClientCredential = null; 
                    Console.WriteLine(svc.GetData());
                }
            }
            catch (Exception e)
            {
                Console.WriteLine(e.Message);
                Console.WriteLine(e.StackTrace);
            }
            Console.WriteLine();

            ImpersonateAnonymousUser();
            Console.WriteLine("using {0}", ToString(WindowsIdentity.GetCurrent()));
            MakeRequest();
            Console.WriteLine();
        }

De la configuration du Client:

<bindings>
            <customBinding>
                <binding name="CustomBinding_IService1">
                    <reliableSession />
                    <binaryMessageEncoding />
                    <httpTransport authenticationScheme="Negotiate" />
                </binding>
            </customBinding>
        </bindings>
        <client>
            <endpoint address="mymachine/Service1/Service1.svc/Service1"
                binding="customBinding" bindingConfiguration="CustomBinding_IService1"
                contract="ServiceReference1.IService1" name="CustomBinding_IService1">
                <identity>
                    <servicePrincipalName value="host/mymachine" />
                </identity>
            </endpoint>
        </client>
      <behaviors>
        <endpointBehaviors>
          <!-- this setting protects the client by prohibiting the service to assume identity of client
          via imperonation and/or delegation and then doing bad things -->
          <behavior name="ImpersonationBehavior">
            <clientCredentials>
              <windows allowedImpersonationLevel="Identification"/>
            </clientCredentials>
          </behavior>
        </endpointBehaviors>
      </behaviors>

De sortie:

using mymachine\me True Negotiate
mymachine\me,True,Negotiate

setting svc.ClientCredentials.Windows.ClientCredential to null...
mymachine\me,True,Negotiate

using NT AUTHORITY\ANONYMOUS LOGON False
The communication object, System.ServiceModel.Channels.ServiceChannel, cannot be
 used for communication because it is in the Faulted state.

Server stack trace:
   at System.ServiceModel.Channels.CommunicationObject.Close(TimeSpan timeout)

Exception rethrown at [0]:
   at System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage req
Msg, IMessage retMsg)
   at System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgDa
ta, Int32 type)
   at System.ServiceModel.ICommunicationObject.Close(TimeSpan timeout)
   at System.ServiceModel.ClientBase`1.System.ServiceModel.ICommunicationObject.
Close(TimeSpan timeout)
   at System.ServiceModel.ClientBase`1.Close()
   at System.ServiceModel.ClientBase`1.System.IDisposable.Dispose()
   at TestClient.Program.MakeRequest()

OriginalL'auteur morpheus

Nous avons un ensemble de tests que nous le faisons et nous utilisons cette méthode d'assistance:

public static ResponseType CallService(RequestType requestBody, NetworkCredential credential)
{
    ResponseType response;
    using (var channelFactory = new ChannelFactory<IMyService>("BasicHttpBinding_IMyService"))
    {
        channelFactory.Credentials.Windows.ClientCredential = credential;

        var client = channelFactory.CreateChannel();
        var request = new MyRequest()
            {
                MyService = requestBody
            };
        response = client.MyService(request).MyResponse1;
        ((IClientChannel)client).Close();

        channelFactory.Close();
    }
    return response;
}

utilisation dans les tests:

var requestBody = GetRequestBody();//another helper method
var credential = new NetworkCredential
    {
        Domain = "MyDomain", 
        UserName = "MyUsername", 
        Password = "MyPassword"
    };
var response = CallService(requestBody, credential);
//Assert various user credentials


var response = CallService(requestBody, null);
//Assert anonymous

Je l'ai fait ainsi. L'utilisation de ce je verfied que service WCF (ou plutôt IIS) ne permet pas par un utilisateur avec mot de passe erroné. Mais je veux tester si l'utilisateur anonyme qui passe à travers ou non.
vous pouvez tester utilisateur anonyme lorsque vous passer la valeur null dans les informations d'identification du client

OriginalL'auteur EdmundYeung99

Vous devez vous connecter pour publier un commentaire.