問題タブ [sspi]

.Net System.Security.SslStream クラスを使用して、クライアント認証で SSL/TLS ストリームのサーバー側を処理しようとしています。

ハンドシェイクを実行するために、次のコードを使用しています。

残念ながら、これにより、CryptoAPI Trusted Root Store 内のすべての証明書のサブジェクト名を含む CertificateRequest を SslStream が送信することになります。

これをオーバーライドできるようにしたいと思います。信頼されたルート ストアから証明書をインストールまたは削除することをユーザーに要求することは、私にとって選択肢ではありません。

SslStream は下で SSPI/SecureChannel を使用しているように見えるので、その API で同等のことを行う方法を誰かが知っていれば、それも役に立ちます。

何か案は？

ノベルジーナは、SSPIを介して使用できる特定のセキュリティプロバイダーをインストールしますか？具体的に声をかける必要がありますか、それともSPNEGOで十分ですか？ノベルジーナがリモートサーバーにインストールされている場合、シングルサインオンをサポートしますか？

概要クライアント（Windows XP SP3）サーバー（Windows Vista Business SP1）/LocalSystemサービスとして実行

Apiシーケンスクライアント-AcquireCredentialsHandleクライアント-Initializesecuritycontextサーバー-Acquirecredentialshandleサーバー-AcceptSecurityContextクライアント/サーバー-CompleteAuthnTokenサーバー-ImpersonateSecurityContextサーバー-AccessCheckAndAuditAlarm（MAXIMUM_allowed）サーバー-次に、要求されたアクセスと許可されたアクセスを比較します。

createprivateobjectsecurityexで作成されたプライベートセキュリティオブジェクトに対してアクセスチェックを呼び出します。Uacをオンにすると、アクセスチェックから成功を取り戻すことができますが、どの特権も保持されません。uacをオフにすると、GantedAccessパラメーターのすべての権限で成功を取り戻すことができます

詳細アプリケーションには、クライアントとサーバーの2つのコンポーネントがあります。tcpを使用して、セキュリティで保護されていないネットワークを介して通信します。着信接続を認証するために、上記のsspi apiを使用し、呼び出し元のユーザーになりすます。呼び出し元のユーザーが偽装されたら、Accesscheckとauditalarmを使用します。これが失敗した場合は、accesscheckだけに戻ります。UACをオンにすると、accesscheckとauditalarmから成功を取り戻すことができますが、grandedaccessパラメーターにアクセス権はありませんが、uacをオフにすると、期待どおりに機能します。サーバープロセスの整合性レベルを確認し、高に設定しました。呼び出し元ユーザーの偽装に使用される偽装トークンの整合性レベルを確認し、中に設定しました。呼び出し元ユーザーの整合性レベルを高く設定してみましたが、成功しましたが、アクセスチェックは依然として誤った結果を返します。リンクされたトークンがあるかもしれないと思って、GetTOkenInformation（TokenLInkedToken）を呼び出してリンクされたトークンを試しましたが、結果は0x520でした。次に何をしようか考えていただければ幸いです。

認証後のコード。

mod_python、Python 2.5、および Django を使用して Apache サーバー (v2.2.10) を実行しています。私は、CVS にある現在のプロジェクトを表示し、ユーザーがさまざまなプロジェクトのビルドを作成できるようにする小さな Web アプリを持っています (ビルドはプロジェクトをチェックアウトし、ソースを取り除いて特定のファイルをコピーします)。

Django 開発サーバーでは、すべて正常に動作します。cvs やチェックアウトなどでプロジェクトのリストを確認できます。実稼働サーバー (Apache サーバー) では、次のエラーが発生します。

[8009030d] パッケージに提供された資格情報が認識されませんでした

SSPI を使用して CVS サーバーにログインしようとしています。同じコマンドをシェルに入力すると、正しく実行されます。

これは私が使用しているコードです:

さまざまなバリエーションを試してみましたが、うまく機能しないようです。今のところ、Apache が犯人だと思います。

どんな助けでもいただければ幸いです

デスクトップ アプリケーションを Windows Mobile に移植しているときに、次のエラーが発生しました。

エラー LNK2019: 未解決の外部シンボル CompleteAuthToken が関数で参照されています

MSDN を読むと、CompleteAuthToken は Windows CE 2.10 以降でサポートされており、Secur32.lib にリンクする必要があることがわかりますが、そのライブラリを追加しても未解決のシンボル エラーは修正されませんでした。何か案は？

注: Visual Studio 2008 + Windows Mobile 6.0 SDK を使用しています。

SQLServer認証を使用する古いASPおよびPHPWebアプリケーションがいくつかあります。定期的に、すべてのアプリケーションがSQL Server 2000データベースサーバーに接続できなくなり、アクセスが拒否されます。

ほぼ同じ時期に対応して、

SQLServer2000サーバーでのエラー。

そして、ここに奇妙な部分があります-Webサーバーを再起動すると問題が解決します。データベースサーバーを再起動しても効果はありません。

これは私には意味がありません。SSPIがSQLServer認証に関与しているとは思いませんでした。

何か案は？

編集：

いくつかの追加の詳細：

WebサーバーはDMZ内にあります。Webサーバー上のhostsファイルにはデータベースサーバーのエントリがあり（IPアドレスは正しい）、Webサーバーは（理論的には少なくとも）データベースサーバーに接続するためにDNSに接続することすらすべきではありません。

ファイアウォールの問題ではないようです。

C＃で作成した.Net2.0Webサービスをテストしようとしています。サーバーの1つはWindows2000上にあり、現在は.Net2.0のみをサポートできます。自分のマシンのローカルでテストでき、正常に動作しますが、本番用のターゲットサーバーに移動すると、エラーが発生します。

Windows認証を使用し、web.configでそのように定義してもらいたい

私が受け取るエラーは次のとおりです。

System.Data.SqlClient.SqlException：ユーザー''のログインに失敗しました。ユーザーは信頼できるSQLServer接続に関連付けられていません。

これは、ターゲットサーバー（そのサーバーでローカルに実行されている）でこのWebサービスをテストしようとしたときに発生します。

Active Directoryのユーザー名をWebサービスが実行されているサーバー/場所に関連付けるにはどうすればよいですか（それが私が行う必要があることだと思いますか？）

このサーバーは現在、従来のASPおよびColdFusionを介してMSSQL2005に接続できます。

SQL-Serverアカウントを使用したり、影響を受けるコンピューターを同じドメインまたは任意のドメインに追加したり、ドメインと同じログオン名を使用したりせずに、C＃/。NETアプリケーションからSQL-serverを使用したいのですが。

方法はありませんか？誰かがSSPIのMONO実装を使用してこれを実行しようとしましたか？

認証にApache2.0を使用するSVN1.4リポジトリがあります。具体的には、mod-auth-sspiWindowsドメインで認証するモジュールです。の関連部分はhttpd.conf次のようになります。

また、SVNからソースを取得してビルドする必要がある自動ビルドサーバーもあります。当然、これにはビルドサーバーが有効なドメインクレデンシャルをSVN/Apacheに渡す必要があります。

今日、私たちは自分のドメイン資格情報を使用してこれを行います。ドメインパスワードの有効期限が切れると、何か悪いことが起こったり、休暇をとったりする可能性があるため、これはあまり良い考えではありません。自動ビルドプロセス全体がフリーズします。私は大企業で働いており、そのようなことをするための官僚的形式主義は禁止されているため、現時点では、自動ビルドサーバー専用のドメインに特別なアカウントを作成することはできません。

私がやりたいのは、既存のSSPI認証スキームを同じままにして、SVNをホストしているマシンにローカルアカウントを作成し、そのローカルアカウントを使用して自動ビルドサーバーを認証することです。つまり、1つのSVNリポジトリの2つの異なる認証パス（SSPI +ローカルアカウント）。

それは可能ですか？どうすればいいのですか？

LogonUserの代わりに、ネットワークリソースにアクセスするために特定のアカウントを偽装する方法はありますか？私は、外部ドメインのマシン（または同じ問題のワークグループマシン）に接続できるようにするなりすましの方法を探しています。

私が持っている初期データの場合：マシン名、ユーザー名（またはドメイン\ユーザー名）、クリアテキストのパスワード。

WNetAddConnectionを使用して\\machinename\ ipc $への接続を確立する方法があることを知っています。ほとんどのネットワーク関数はそのアカウントのコンテキストで実行されますが、win2008は別の工夫を加え、一部の関数は引き続きアカウントを使用し、そのスレッドは。

また、SSPIを使用して偽装トークンを取得する方法があることも認識しています。誰かがそれらのトークンを試したことがありますか？それらは共有、SCM、リモートレジストリなどにアクセスするのに適していますか？WNetAddConnectionが使用しているものは何ですか？

編集：明確にするために、LogonUserを使用できない理由は、信頼されていないドメインまたはワークグループのユーザーになりすます必要があるためです。

EDIT2：別の説明：私が実装しようとしている項目はpsexecに似ています。例：

• プログラムは、ホストまたはActive Directoryの構成を変更しないでください（例：一時的なローカルユーザーの作成など）。さらに、DCで実行されているかどうかを想定することはできません。
• どのソフトウェアがリモートホストにプリインストールされているかを想定することはできません。与えられた条件は、Windowsファイル共有がターゲットで有効になっていることだけです。
• アカウント/パスワードはターゲットで機能していることがわかっていますが、ターゲットマシンはローカルドメイン、外部ドメインにある可能性があり、ドメインにまったく存在しない可能性があります。

EDIT3： SSPI InitializeSecurityContext/AcquireCredentialsHandleオプションについてもっと知りたいです。このAPIを幅広く使用している人はいますか？偽装で返されたトークンを使用して、スレッドがネットワーク共有にアクセスしたり、ファイルをコピーしたりできるようにすることは可能ですか？誰かが実用的なコードスニペットを投稿できますか？

EDIT4：マーシュレイのおかげで、問題は解決されました。誰かが概念実証コードを見たいと思っているなら、それはここにあります