Como você faz representação em .NET?
https://stackoverflow.com/questions/125341
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Existe um simples fora do caminho caixa para representar um usuário em .NET?
Até agora eu tenho usado esta classe de projeto de código para todos meus requisitos representação.
Existe uma maneira melhor de fazer isso usando .NET Framework?
Eu tenho um usuário conjunto de credenciais (nome de usuário, senha, nome de domínio), que representa a necessidade de identidade I para representar.
Solução
Aqui está uma boa visão geral dos conceitos de representação NET.
- Michiel van Otegem: WindowsImpersonationContext fácil
- Método WindowsIdentity.Impersonate (confira os exemplos de código)
Basicamente, você será alavancar essas classes que estão fora da caixa no framework .NET:
O código pode muitas vezes obter longa embora e é por isso que você vê muitos exemplos como o que você faz referência que tentam simplificar o processo.
Outras dicas
"representação" no espaço .NET geralmente significa a execução de código em uma conta de usuário específico. É um conceito um tanto separado do que obter acesso à conta do usuário por meio de um nome de usuário e senha, embora essas duas idéias emparelhar juntos com freqüência. Vou descrever os dois e, em seguida, explicar como usar o meu SimpleImpersonation biblioteca, que usa-los internamente.
Representação
As APIs para representação são fornecidos em .NET através do namespace System.Security.Principal:
-
código mais recente (.NET 4.6 +, .NET Core, etc.) deve geralmente usar
WindowsIdentity.RunImpersonated, que aceita um identificador para o sinal da conta de utilizador, e em seguida, umActionouFunc<T>para o código de execução.WindowsIdentity.RunImpersonated(tokenHandle, () => { // do whatever you want as this user. });ou
var result = WindowsIdentity.RunImpersonated(tokenHandle, () => { // do whatever you want as this user. return result; }); -
código antigo usado o
WindowsIdentity.Impersonatemétodo para recuperar um objetoWindowsImpersonationContext. EsteIDisposableobjeto implementa, de modo geral, deve ser chamado a partir de um bloco deusing.using (WindowsImpersonationContext context = WindowsIdentity.Impersonate(tokenHandle)) { // do whatever you want as this user. }Embora esta API ainda existe em .NET Framework, ele geralmente deve ser evitada, e não está disponível em .NET Núcleo ou .NET padrão.
acessar a conta de usuário
A API para usar um nome de usuário e senha para ter acesso a uma conta de usuário no Windows é LogonUser - que é uma API Win32 nativo. Não existe actualmente um built-in .NET API para chamá-lo, por isso é preciso recorrer a P / Invoke.
[DllImport("advapi32.dll", SetLastError = true, CharSet = CharSet.Unicode)]
internal static extern bool LogonUser(String lpszUsername, String lpszDomain, String lpszPassword, int dwLogonType, int dwLogonProvider, out IntPtr phToken);
Esta é a definição chamada básica, no entanto, há muito mais a considerar para realmente usá-lo em produção:
- A obtenção de uma alça com o padrão de acesso "seguro".
- Fechando as alças nativos adequadamente
- Code Access Security (CAS) níveis de confiança (em .NET Framework somente)
- Passando
SecureStringquando você pode coletar uma forma segura através de combinações de teclas do usuário.
A quantidade de código para escrever para ilustrar tudo isso está além do que deveria estar em uma resposta StackOverflow, IMHO.
A Combinada e abordagem mais fácil
Em vez de escrever tudo isso sozinho, considere usar a minha biblioteca SimpleImpersonation , que combina representação e usuário de acesso em uma única API. Ele funciona bem em ambas as bases de código modernos e mais velhos, com a mesma API simples:
var credentials = new UserCredentials(domain, username, password);
Impersonation.RunAsUser(credentials, logonType, () =>
{
// do whatever you want as this user.
});
ou
var credentials = new UserCredentials(domain, username, password);
var result = Impersonation.RunAsUser(credentials, logonType, () =>
{
// do whatever you want as this user.
return something;
});
Note que é muito semelhante à API WindowsIdentity.RunImpersonated, mas não exige que você sabe alguma coisa sobre alças de tokens.
Esta é a API a partir da versão 3.0.0. Veja o README do projeto para mais detalhes. Observe também que uma versão anterior da biblioteca utilizada uma API com o padrão IDisposable, semelhante ao WindowsIdentity.Impersonate. A versão mais recente é muito mais seguro, e ambos ainda são usados ??internamente.
Este é provavelmente o que você quer:
using System.Security.Principal;
using(WindowsIdentity.GetCurrent().Impersonate())
{
//your code goes here
}
Mas eu realmente preciso de mais detalhes para ajudá-lo. Você poderia fazer representação com um arquivo de configuração (se você estiver tentando fazer isso em um site), ou através do método decoradores (atributos) se é um serviço WCF, ou através ... você começa a idéia.
Além disso, se estamos falando de se passar por um cliente que chamou um determinado serviço (ou aplicativo web), você precisa configurar o cliente corretamente para que ele passa os sinais apropriados.
Finalmente, se o que você realmente quer fazer é Delegação, você também precisa configurar AD corretamente para que os usuários e máquinas são confiáveis ??para delegação.
Editar:
Dê uma olhada aqui para ver como representar um usuário diferente, e para obter mais documentação.
Aqui está a minha porta vb.net da resposta de Matt Johnson. Eu adicionei um enum para os tipos de logon. LOGON32_LOGON_INTERACTIVE foi o primeiro valor de enumeração que trabalhou para sql server. Minha seqüência de conexão foi apenas confiável. Nenhum nome de usuário / senha na cadeia de conexão.
<PermissionSet(SecurityAction.Demand, Name:="FullTrust")> _
Public Class Impersonation
Implements IDisposable
Public Enum LogonTypes
''' <summary>
''' This logon type is intended for users who will be interactively using the computer, such as a user being logged on
''' by a terminal server, remote shell, or similar process.
''' This logon type has the additional expense of caching logon information for disconnected operations;
''' therefore, it is inappropriate for some client/server applications,
''' such as a mail server.
''' </summary>
LOGON32_LOGON_INTERACTIVE = 2
''' <summary>
''' This logon type is intended for high performance servers to authenticate plaintext passwords.
''' The LogonUser function does not cache credentials for this logon type.
''' </summary>
LOGON32_LOGON_NETWORK = 3
''' <summary>
''' This logon type is intended for batch servers, where processes may be executing on behalf of a user without
''' their direct intervention. This type is also for higher performance servers that process many plaintext
''' authentication attempts at a time, such as mail or Web servers.
''' The LogonUser function does not cache credentials for this logon type.
''' </summary>
LOGON32_LOGON_BATCH = 4
''' <summary>
''' Indicates a service-type logon. The account provided must have the service privilege enabled.
''' </summary>
LOGON32_LOGON_SERVICE = 5
''' <summary>
''' This logon type is for GINA DLLs that log on users who will be interactively using the computer.
''' This logon type can generate a unique audit record that shows when the workstation was unlocked.
''' </summary>
LOGON32_LOGON_UNLOCK = 7
''' <summary>
''' This logon type preserves the name and password in the authentication package, which allows the server to make
''' connections to other network servers while impersonating the client. A server can accept plaintext credentials
''' from a client, call LogonUser, verify that the user can access the system across the network, and still
''' communicate with other servers.
''' NOTE: Windows NT: This value is not supported.
''' </summary>
LOGON32_LOGON_NETWORK_CLEARTEXT = 8
''' <summary>
''' This logon type allows the caller to clone its current token and specify new credentials for outbound connections.
''' The new logon session has the same local identifier but uses different credentials for other network connections.
''' NOTE: This logon type is supported only by the LOGON32_PROVIDER_WINNT50 logon provider.
''' NOTE: Windows NT: This value is not supported.
''' </summary>
LOGON32_LOGON_NEW_CREDENTIALS = 9
End Enum
<DllImport("advapi32.dll", SetLastError:=True, CharSet:=CharSet.Unicode)> _
Private Shared Function LogonUser(lpszUsername As [String], lpszDomain As [String], lpszPassword As [String], dwLogonType As Integer, dwLogonProvider As Integer, ByRef phToken As SafeTokenHandle) As Boolean
End Function
Public Sub New(Domain As String, UserName As String, Password As String, Optional LogonType As LogonTypes = LogonTypes.LOGON32_LOGON_INTERACTIVE)
Dim ok = LogonUser(UserName, Domain, Password, LogonType, 0, _SafeTokenHandle)
If Not ok Then
Dim errorCode = Marshal.GetLastWin32Error()
Throw New ApplicationException(String.Format("Could not impersonate the elevated user. LogonUser returned error code {0}.", errorCode))
End If
WindowsImpersonationContext = WindowsIdentity.Impersonate(_SafeTokenHandle.DangerousGetHandle())
End Sub
Private ReadOnly _SafeTokenHandle As New SafeTokenHandle
Private ReadOnly WindowsImpersonationContext As WindowsImpersonationContext
Public Sub Dispose() Implements System.IDisposable.Dispose
Me.WindowsImpersonationContext.Dispose()
Me._SafeTokenHandle.Dispose()
End Sub
Public NotInheritable Class SafeTokenHandle
Inherits SafeHandleZeroOrMinusOneIsInvalid
<DllImport("kernel32.dll")> _
<ReliabilityContract(Consistency.WillNotCorruptState, Cer.Success)> _
<SuppressUnmanagedCodeSecurity()> _
Private Shared Function CloseHandle(handle As IntPtr) As <MarshalAs(UnmanagedType.Bool)> Boolean
End Function
Public Sub New()
MyBase.New(True)
End Sub
Protected Overrides Function ReleaseHandle() As Boolean
Return CloseHandle(handle)
End Function
End Class
End Class
Você precisa usar uma declaração Using conter algum código para executar representado.
Veja mais detalhes da minha resposta anterior Eu criei um pacote NuGet Nuget
Code on Github
Exemplo: você pode usar:
string login = "";
string domain = "";
string password = "";
using (UserImpersonation user = new UserImpersonation(login, domain, password))
{
if (user.ImpersonateValidUser())
{
File.WriteAllText("test.txt", "your text");
Console.WriteLine("File writed");
}
else
{
Console.WriteLine("User not connected");
}
}
Vieuw o código completo:
using System;
using System.Runtime.InteropServices;
using System.Security.Principal;
/// <summary>
/// Object to change the user authticated
/// </summary>
public class UserImpersonation : IDisposable
{
/// <summary>
/// Logon method (check athetification) from advapi32.dll
/// </summary>
/// <param name="lpszUserName"></param>
/// <param name="lpszDomain"></param>
/// <param name="lpszPassword"></param>
/// <param name="dwLogonType"></param>
/// <param name="dwLogonProvider"></param>
/// <param name="phToken"></param>
/// <returns></returns>
[DllImport("advapi32.dll")]
private static extern bool LogonUser(String lpszUserName,
String lpszDomain,
String lpszPassword,
int dwLogonType,
int dwLogonProvider,
ref IntPtr phToken);
/// <summary>
/// Close
/// </summary>
/// <param name="handle"></param>
/// <returns></returns>
[DllImport("kernel32.dll", CharSet = CharSet.Auto)]
public static extern bool CloseHandle(IntPtr handle);
private WindowsImpersonationContext _windowsImpersonationContext;
private IntPtr _tokenHandle;
private string _userName;
private string _domain;
private string _passWord;
const int LOGON32_PROVIDER_DEFAULT = 0;
const int LOGON32_LOGON_INTERACTIVE = 2;
/// <summary>
/// Initialize a UserImpersonation
/// </summary>
/// <param name="userName"></param>
/// <param name="domain"></param>
/// <param name="passWord"></param>
public UserImpersonation(string userName, string domain, string passWord)
{
_userName = userName;
_domain = domain;
_passWord = passWord;
}
/// <summary>
/// Valiate the user inforamtion
/// </summary>
/// <returns></returns>
public bool ImpersonateValidUser()
{
bool returnValue = LogonUser(_userName, _domain, _passWord,
LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT,
ref _tokenHandle);
if (false == returnValue)
{
return false;
}
WindowsIdentity newId = new WindowsIdentity(_tokenHandle);
_windowsImpersonationContext = newId.Impersonate();
return true;
}
#region IDisposable Members
/// <summary>
/// Dispose the UserImpersonation connection
/// </summary>
public void Dispose()
{
if (_windowsImpersonationContext != null)
_windowsImpersonationContext.Undo();
if (_tokenHandle != IntPtr.Zero)
CloseHandle(_tokenHandle);
}
#endregion
}
Estou ciente de que estou muito atrasado para a festa, mas eu considero que a biblioteca de Phillip Allan-Harding , é o melhor para este caso e outros semelhantes.
Você só precisa de um pequeno pedaço de código como este:
private const string LOGIN = "mamy";
private const string DOMAIN = "mongo";
private const string PASSWORD = "HelloMongo2017";
private void DBConnection()
{
using (Impersonator user = new Impersonator(LOGIN, DOMAIN, PASSWORD, LogonType.LOGON32_LOGON_NEW_CREDENTIALS, LogonProvider.LOGON32_PROVIDER_WINNT50))
{
}
}
E adicione sua classe:
. NET (C #) representação com credenciais de rede
Meu exemplo pode ser usado se você precisar de logon representada ter credenciais de rede, mas tem mais opções.
Você pode usar esta solução. (Pacote NuGet Use) O código fonte está disponível em: Github: https://github.com/michelcedric/UserImpersonation
Mais detalhes https: //michelcedric.wordpress. com / 2015/09/03 / usurpação-didentite-dun-user-c-user-representação /
