Puis-je emprunter l'identité d'un utilisateur sur un autre domaine Active Directory dans .NET?

J'ai deux domaines Active Directory, A et B. les Utilisateurs dans le domaine A besoin pour exécuter une application sur leur poste de travail, de visualiser et de manipuler une ressource située sur un serveur du domaine B. Chaque utilisateur dispose également d'un compte de domaine B. Est-il possible d'usurper l'identité de chaque utilisateur du domaine B de l'identité d'effectuer des opérations sur le domaine B de la ressource par programmation?

Exemple De Flux De Travail:

  1. Utilisateur se connecte à un domaine A.
  2. Utilisateur lance une application de bureau.
  3. Utilisateur spécifie des ressources dans le domaine B.
  4. Application invite l'utilisateur pour le domaine B informations d'identification.
  5. Application emprunte l'identité de l'utilisateur du domaine B de l'identité de l'accès de ressource spécifié.
  6. Utilisateur manipule le domaine B de la ressource à l'aide de l'application.
InformationsquelleAutor John Ingle | 2009-06-15
  1. 2

    Je vais parler en termes de Win32 Api, mais je suis sûr que vous pouvez p/invoke pour ces de .NET. Vérifier http://pinvoke.net.

    Vous devez appeler la LogonUser API pour créer un jeton d'accès qui représente le domaine de l'utilisateur B informations d'identification.

    Puis vous appelez ImpersonateLoggedOnUser, en passant dans ce jeton d'accès. Le thread d'usurper l'identité du domaine B informations d'identification jusqu'à ce que vous usurper l'identité d'un autre ensemble d'informations d'identification ou d'appeler l'API RevertToSelf.

    Je suppose qu'il va sans dire que, pour le LogonUser appel à réussir, la machine que vous êtes en cours d'exécution sur l'aurez besoin de la confiance de domaine B.

    • N'est-ce pas l'inverse.. je veux dire, n'est pas du Domaine B ont pour Domaine de confiance de l'Un?
    • Non, je ne le pense pas. Pas de relation de confiance qui doit exister entre les domaines A et B. Mais selon le domaine auquel la machine appartient, il peut y avoir quelques autres la confiance nécessité que nous n'avons pas mentionné.
    • C'est ma compréhension que LogonUser ne pas authentifier les utilisateurs distants. J'ai essayé d'utiliser cette méthode avec WindowsImpersonationContext sans succès. LogonUser: msdn.microsoft.com/en-us/library/aa378184(SV.85).aspx Si ce n'est pas le cas, alors je commence à penser à mes problèmes réside peut-être ailleurs. Il peut être un problème de confiance entre les deux domaines. Je vais vérifier ça.
    • Pas sûr de ce qui est signifié par "utilisateurs distants". Certes, LogonUser prend un paramètre de domaine et peut émettre des jetons basée sur la réussite de l'authentification par le serveur de domaine.
    • Mes excuses, je pense que j'ai mal compris l'article MSDN que j'ai liée. Il ne peut pas être utilisé "pour ouvrir une session sur un ordinateur distant'. Donc, puisqu'il peut être utilisé pour s'authentifier auprès d'un autre domaine, je commence à soupçonner que mon problème se situe ailleurs. Merci pour la réponse.
    InformationsquelleAutor Martin
  2. 9

    Si votre ordinateur (celui faisant l'usurpation d'identité) est un membre d'un domaine qui n'a pas confiance dans le domaine du compte d'utilisateur que vous essayez d'usurper l'identité d', puis l'emprunt d'identité échoue. Quiconque dit le contraire, je serais ravi de voir la preuve.

    • Exactement. Ce que vous devez faire est d'établir une relation d'approbation entre les deux domaines AD. Ce n'est pas difficile à faire, mais il le fait "d'ouvrir" la sécurité entre les deux de manière significative, et n'est pas "neutre" décision à prendre. Il a beaucoup d'implications. Maintenant, je ne sais pas si vous avez BESOIN d'avoir une relation de confiance à usurper l'identité d', mais je serais très surpris si vous n'avez pas. Mais je sais que ça fonctionne si vous avez une confiance (c'est quelque chose que j'avais à code dans les deux dernières semaines).
    InformationsquelleAutor
  3. 1

    Découvrez cette question, qui couvre l'usurpation de l'identité des questions dont vous avez besoin.

    • J'ai vu que la question et les liens qu'elle propose. Ils n'ont pas bien répondu à ma question. La plupart des exemples dépendent de la méthode LogonUser qui, comme je le comprends, ne va pas s'authentifier sur un ordinateur distant.
    InformationsquelleAutor Dillie-O