特定のマシンのすべてのユーザーが .Net サイトにアクセスできるように、マシンベースの認証を検討しています。マシンのリストは変更されますが、すべて内部ネットワーク上にあります。それらの IP アドレスは静的ではないと見なされます。
管理しやすくするために、Active Directory コンピューター グループへのアクセスを制限できるようにしたいと考えています。
AD クエリを管理できます。私の質問は、マシン名を取得してセッション全体を認証するのに最適な場所はどこですか?
新しい HttpModule の作成を検討しましたが、すべてのリクエストを認証する必要があるようです。AD クエリが関係している場合、すべてのリクエストを認証することは理想的ではないようです。
Webはステートレスであるため、使用しているテクノロジーに関係なく、すべてのリクエストは常に認証されます。ただし、ADを攻撃しないための秘訣は、セッションhttpCookieを使用することです。このCookieは最初のリクエストで設定し、後続のリクエストで確認します。Cookieには何らかの暗号化保護が必要ですが、ありがたいことに、これはASP.NETですぐに使用できます。フォーム認証インフラストラクチャを利用してCookieを設定および検証できると思います。投稿されたフォームから読み取る代わりに、最初の認証をADにオフロードするだけです。
開始するのに最適な場所は次のとおりです。
フォーム認証チケットとCookieについて http://support.microsoft.com/kb/910443
すべてのリクエストを認証する必要はありません。HttpModule で最初のリクエストを認証し、リクエスターをセッションに追加するか、資格情報を短時間キャッシュします。