問題タブ [windows-identity]

私の目的は、C# で自分のシステムからリモート コンピューターにフォルダーをコピーすることです。私はどこでも検索し、それを行う方法に関するいくつかの情報を見つけました。ドメイン、ユーザー名、およびパスワードを使用して LogonUser 関数を呼び出していますが、失敗して 0 が返されます。

以下は私のコードです。問題を解決するのを手伝ってもらえますか?

2 つの既存のレガシー Web アプリケーションがあります。1 つはドメイン内で Windows 認証を使用するイントラネット用で、もう 1 つはカスタム Web フォームのユーザー名 + パスワード ベースの認証を実行するインターネット アプリケーションです。現在、新しい Web アプリケーションが開発されており、インターネットとイントラネットの両方のユーザーがインターネットで利用でき、両方の認証モデルを処理します。したがって、 WIFを使用することにしました。Windows Server 2012 で ASP.NET 4.5 MVC 4 を使用する予定です。

ここでは ADFS 2.0 を使用できるため、イントラネット認証は問題になりません。

しかし、現在、ユーザー名とパスワードの認証を解決する方法はわかりません。カスタムメンバーシッププロバイダーに対して検証されるユーザー名とパスワードの情報を提供するユーザーを認証するために、カスタムUserNameSecurityTokenHandlerを開発する必要があるようです。しかし、ワークフロー全体でいくつかの支援が必要です...

インターネット ユーザー用のカスタム ログイン ページがあるとします。そして、インターネット ユーザーをこのログイン ページ (ASP.NET MVC 内) にルーティングできたと仮定すると、有効なトークンに欠けている部分は何でしょうか? 提供されたユーザー名とパスワードを受け取ったフォームまたは MVC コントローラー アクションは、構成された WIF ID プロバイダーをどのようにトリガーしますか?

質問：

SQL ServerなどのSSPI認証済みネットワークサービスへの接続に使用される現在のプロセスのネットワークIDを取得するための.NET（またはアンマネージWindowsAPIへのp/ invoke）メソッド呼び出しとは何ですか？

私が念頭に置いている特定のユースケースは、ドメインに参加していないマシンで作業し、ローカルのログオンIDの代わりにそのIDをネットワーク認証にrunas /noprofile /netonly /USER:DOMAIN\username使用するプロセスを起動するために使用できる場合です。DOMAIN\usernameMACHINE\username

DOMAIN\usernameここに渡されるIDを取得するメソッド呼び出しが必要RUNASです。

ありがとう！

明確にするために、現在のユーザーのローカルにログオンしているID（​​ネットワークIDとは異なる場合があります）を取得するためのメソッド呼び出しを探していません。これは、回答を除外 System.Security.Principal.WindowsIdentity.GetCurrent().NameしEnvironment.UserName、おそらくSystem.Threading.Thread.CurrentPrincipal.Identity.Name受け入れられないようにします。もちろんここで間違っていることが示されない限り、これらのいずれかが解決策であると誤って示している回答には反対票を投じます。:)

Web アプリケーションの使用時に HttpContext.Current.User.Identity.Name を使用してユーザー名を取得しています。開発中、統合 Windows 認証を有効にし、匿名アクセスを有効および無効にして、ローカルの iis を使用していましたが、ユーザー名を取得できました。

ここで、Web アプリケーションを公開すると、空白に戻ります。公開されたサーバーでの設定は同じで、Page.User.Identity.Name を使用してみましたが、これも空白を返しました。

これがなぜなのか、それを修正する方法を知っている人はいますか？

以下のコード スニペットを使用して、WCF サービスでクライアント ユーザー名を取得します。サーバーの 1 つで、間違ったクライアント名を取得しています。私のクライアントは Win7 で、ワークグループ構成で Server 2008R2 と通信しており、両方のマシンにユーザーDaveとDave_Admin. どちらも Win7 の管理者であり、後者のみがサーバーの管理者です。問題は、クライアントを として起動Daveし、サーバーがクライアントを として表示することですDave_Admin。クライアントの Dave とサーバーの Dave_Admin として、接続の両側の ID をデバッグしました。クレーム リソースにもDave_AdminSID が表示されます。

これが起こると私が想像できる唯一の2つの理由は

1. サーバーはどういうわけか、私が疑うユーザーDave_Adminを探しているか、またはDave
2. セットアップ後、管理ユーザーの名前を に変更DaveしDave_Admin、新しいユーザーDaveを標準ユーザーとして作成した可能性があります。

やったかもしれないという漠然とした記憶しかありませんが、やったかどうかはわかりません。c:\usersフォルダは正常に見えます。私がこれを行った場合、これが理由ですが、修正する方法はありますか?

ユーザーの名前を変更した後にこれが発生した場合、別の説明または修正手段がありますか?

表面的には、WIFの多くの機能が必要だと思います

• ロールを使用してセッションを区別する機能
• サーバーにセッション状態がありません
• HTTP のみの Cookie に存在するすべての認証およびロール データ
• ASP.NET MVC のサポート

ただし、私のアプリケーションでは、独自のカスタム アイデンティティ ストアを使用したいと考えており、Windows 認証を使用していません。

これにより、WIF を使用するにはカスタム IDP をセットアップする必要があると思われ、オーバーヘッド/労力が多すぎると考え始めています。

1. 上記の機能を提供する WIF+ や IDP と同様のテクノロジはありますか?

2. それがない場合、IDP と Web サイトを組み合わせて実装するための明確に定義されたパターンはありますか?

セキュリティなしから証明書に切り替えると、IAuthorizationPolicy.Evaluate (evaluationContext.Properties.TryGetValue("Identities", out obj)？にWindowsIdentityが表示されます。これは仕様によるものですか：

これから ：

これに：

IAuthorizationPolicy.EvaluateでWindowsIdentityを取得しないようにする方法はありますか？このバインディングを使用する場合にのみ、WindowsIdentityを設定する必要があります。

C# の小さなプログラムから、Windows上のディレクトリ フォルダ " wwwroot " の " Everyone "にアクセス権を割り当てる際に問題が発生しました。これが私のやり方です。

ただし、それでも同じエラーが発生します。

System.Security.Principal.IdentityNotMappedException

.Net STS Web サイトを実装しましたが、すべて正常に動作しています。トークンにはロール タイプのクレームが入力され、これらはアプリケーションでユーザーがアクセスできるものを制御するために使用されます。

新しい要件は、システムの特定の部分の読み取り専用ビューを提供する、プライマリ アプリケーションの機能のサブセットである 2 番目のアプリケーションが必要であるということです。また、ユーザーがユーザー名とパスワードの組み合わせでログインする必要がないように、Active Directory 認証を使用する必要があります。

STS Web サイトを拡張して、Active Directory を使用してユーザーを認証し、この読み取り専用ビューを強制する単一のクレーム/ロールを含むトークンを発行しました。

これは問題なく動作しますが、私の問題は、ユーザーが両方のアプリケーションを同時に使用する可能性が高いことです。これが発生すると、トークンにはより多くのロールが取り込まれ、読み取り専用アプリケーションのユーザーは必要以上にアクセスできます。

この問題を回避する唯一の方法は、別のセキュア トークンを使用するようにセカンダリ/読み取り専用アプリケーションを構成することです。

私の質問は、.Net STS がこれを実行できるかどうかです。

どうもありがとう、ジョン

後で不確定な時間にユーザーに代わってコマンドをキューに入れて実行するWCFサービスがあります。私は、WindowsIdentityをバイト配列として格納し、それをデータベースに詰め込んでから、後でそのオブジェクトを逆シリアル化して使用することを望んでいました。

場合によっては、サービスは期待どおりに実行されます。つまり、ユーザーとしてコマンドを正しくシリアル化、保存、逆シリアル化、および実行します。また、WindowsIdentityを逆シリアル化すると、「呼び出しのターゲットによって例外がスローされました」というエラーが発生します。また、逆シリアル化は機能しますが、コマンド実行の途中で、IDが無効になる場合もあります。

私の質問はこれです：WCFを使用する.NET 4.0フレームワークで、明示的なユーザー名とパスワードなしで、後でユーザーに代わってコマンドを実行することは可能ですか？

私が使用しているコードは以下のとおりです。

シリアル化：

デシリアライズ：

WindowsIdentityキャプチャ：

使用法：