c# - .Net 4.5 中的 Active Directory 组成员身份检查-6ren

c# - .Net 4.5 中的 Active Directory 组成员身份检查

转载作者：太空狗更新时间：2023-10-29 20:31:15

25

4

我有一个使用 Windows 身份验证的 ASP.Net MVC 应用程序，我正在检查组成员身份以确保 Controller 操作的安全性。

听起来很简单，但我发现没有其他问题可以解决我遇到的问题。

第一次尝试:[授权]

经典的方法是简单地在 Controller 操作上添加一个Authorize 数据注释属性然后去镇上:

[Authorize(Roles = @"domain\groupName1")]

没有骰子。系统提示我输入凭据。通常这意味着 Windows 身份验证配置有问题，但设置正常:(1) HttpContext.User 是一个 WindowsPrincipal 对象，并且 (2) 我确认了另一个已知组名字有效。

第二次尝试:IsInRole()

下一步是走更老式的路线并使用 IPrincipal.IsInRole()，同样，一个返回 false，另一个返回 true 。

var wp = (WindowsPrincipal)User;

// false
var inGroup1 = wp.IsInRole(@"domain\groupName1");
// true
var inGroup2 = wp.IsInRole(@"domain\groupName2");

难住了...所以我联系了我的系统专家，我们仔细检查了所有内容。用户是组成员？是的。组名拼写正确吗？是的。下一步是获取 SID。

第三次尝试:搜索身份的群组集合

在我的 Controller 中，我检查了 WindowsIdentity 并在组集合中查找有问题的组的 SID:

var wi = (WindowsIdentity)wp.Identity;
var group = wi.Groups.SingleOrDefault(g => g.Value == "group1-sidValue");

group 变量是 SecurityIdentifier 对象。因为它不为空，我们可以确定当前用户是 [Authorize()] 或 IsInRole() 尝试都未能确认的组的成员.

第四次尝试:DirectoryServices.AccountManagement

此时，我要疯狂地添加对 AccountManagement API 的引用。我通过名称和 SID 在域上下文中搜索 GroupPrincipal:

   var pc = new PrincipalContext(ContextType.Domain, "domain");
   var gp1byName = GroupPrincipal.FindByIdentity(pc, "groupName1")
   var gp1bySid = GroupPrincipal.FindByIdentity(pc, IdentityType.Sid, "group1-sidValue");

两组主体变量都具有相同的对象，我通过监视变量验证主体的 Members 集合包含一个 UserPrincipal 对象，其 SID 与HttpContext 上的当前 WindowsPrincipal。

问题:

我到底错过了什么？当通过对象探索清楚地表明用户是该给定组的有效成员时，为什么两种角色检查方法都会失败？

在这一点上，一组检查正常而另一组检查似乎不是最奇怪的部分。

最佳答案

回答:

本质上是 WindowsIdentity 和 NTAccount(都是 System.Security.Principal)之间的转换问题，最后是实际的 Active Directory 条目。

当根据 AD 验证 WindowsIdentity 时，如果您想使用 Sam 或 Sid 以外的任何东西，您将需要使用 System.DirectoryServices.AccountManagement。

警告:在 .Net 4.5 中，安全主体包括声明，但这是断章取义的。

详细说明:

在经过 Windows 身份验证的 Web 应用程序中，HttpContext.User 是一个包含底层 WindowsIdentity 的 WindowsPrincipal 对象。

WindowsIdentity 对于大多数意图和目的只有两个属性可以用来识别经过身份验证的用户:Name 和 User。

这些属性转换为身份对应的 AD 帐户条目上的两个属性:

WindowsIdentity.Name = SamAccountName

WindowsIdentity.User = SID

[Authorize] 过滤器属性最终调用底层主体上的 IsInRole(string role) 和 IsInRole() 字符串重载使用 role(AD 条目中的“SamAccountName”)实例化 NTAccount。

这解释了上面 #1 和 #2 中的失败。

要授权 HttpContext.User 除了他/她的 Sid 或 SamAccountName，您需要 DirectoryServices.AccountManagement 或经典 LDAP。

关于c# - .Net 4.5 中的 Active Directory 组成员身份检查，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/13147132/

25

4

0

文章推荐： C++ 继承练习

文章推荐： c++ - 在 C++ 中以原始格式获取剪贴板数据

文章推荐： python - 了解 scikit 学习预测的随机森林内存要求

安卓工作室 : Parameter 'directory' is not a directory
当我尝试构建我的项目时，我遇到了这样的错误: FAILURE: Build failed with an exception. * What went wrong: Execution failed
海湾合作委员会 : directory : No such file or directory
我正在尝试从 Here 构建适用于 linux 3.7 内核的 Mali 驱动程序. 有一个单独的构建脚本，例如， #!/bin/bash export KDIR=/path/to/kernel/di
directory - 普通口齿不清 : creating a directory
有没有一种方法可以使用普通的 lisp 创建目录。我想先创建一个文件夹，然后将我的 .txt .png 文件放入其中。我知道首先我可以在外部创建文件夹，然后使用 with-open-file 等在目录
visual-studio-2013 - 如何修复 MSB8029 : Intermediate directory or Output directory cannot reside under the Temporary directory in VS2013
Visual Studio 提示每次编译警告 MSB8029:中间目录或输出目录不能位于临时目录下，因为它可能导致增量构建出现问题。我正在检查项目并更改了输出目录和中间目录，但我仍然在我的解决方案中
visual-studio-2013 - 如何修复 MSB8029 : Intermediate directory or Output directory cannot reside under the Temporary directory in VS2013
Visual Studio 提示每次编译警告 MSB8029:中间目录或输出目录不能位于临时目录下，因为它可能导致增量构建出现问题。我正在检查项目并更改了输出目录和中间目录，但我仍然在我的解决方案中
azure-active-directory - 将 Azure Active Directory 与 Keycloak 集成时，是否需要高级版 Azure Active Directory？
我的客户安装了 Keycloak 以从 AWS Cognito 代理用户。我需要这个 Keycloak 来代理来自 Azure Active Directory 的用户。客户拥有 AAD 的 OF
multithreading - GNU 并行 : assign one thread for each node (directories and sub* directories) of an entire tree from a start directory
我想从 macOS 上 parallel 命令的所有潜力中受益(似乎存在 2 个版本，GNU 和 Ole Tange 的版本，但我不确定)。使用以下命令: parallel -j8 find {}
active-directory - Active Directory 本地管理器
我需要实现一个 Active Directory(本地)管理器，用户可以在其中执行所有任务，例如添加用户、删除用户、分配许可证和分配组等。用户有用户名、密码和域 Controller 名称，所以他只需
active-directory - Active Directory LDAP示例
我正在编写一个使用PHP adLDAP库与Active Directory交互的应用程序。为了测试该应用程序，我需要使用Active Directory架构的本地LDAP DB以及示例数据。我已经
active-directory - Active Directory 跨域搜索
我有一个包含两个域 AA.RR.COM 和 BB.RR.COM 的 Active Directory 林，其中包含用户和组。我需要搜索两个域中的用户，同时查询其中一个域(例如 AA.RT.COM)如何
active-directory - Active Directory 用户类的电子邮件地址属性与代理地址属性之间的差异
我使用 Proxy-Address 属性作为确定用户电子邮件地址的主要方法(我只关心以“SMTP:”或“smtp:”为前缀的地址，此外，我使用以大写字母为前缀的地址SMTP 来确定主地址 - 这不是
PHP警告: mkdir(): Not a directory when creating directory
这个问题不太可能对任何 future 的访客有帮助；它只与一个较小的地理区域、一个特定的时间点或一个非常狭窄的情况相关，通常不适用于全世界的互联网受众。如需帮助使此问题更广泛适用，visit the
Linux 命令 : Directory inside a directory
所以我有一个目录 - 让我们说/dir/。在里面我有这些文件夹-/目录/fold1//目录/fold2//dir/fold3/ 这些文件夹 (fold1,2,3) 中的每一个都可能包含一个名为 foo
php - 如何设置服务器以在 Ubuntu 10.04 中从 "root-directory/sub-directory/cgi-bin"运行 "root-directory/cgi-bin"中的 perl 脚本？
我正在使用 PHPmotion 在我本地的 ubuntu 机器上。优步上传者在 phpmotion 中用于将文件上传到服务器。这是使用 perl 脚本(位于“ www/cgi-bin ”)上传文件。
active-directory - 使用 Active Directory 用户登录到您的应用程序是否是个好主意
我正在为我的公司开发一个基于 Web 的 Intranet。我只想知道用户使用事件目录登录详细信息登录应用程序是一件好事，还是我应该与应用程序数据库一起创建登录名。如果有什么比这更好的，请提出建议。这
active-directory - Sitecore Active Directory 间接成员资格
我们有带有 AD 模块 1.0.4 的 Sitecore 6.5。 DEPARTMENT\SitecoreUsers AD 组中的用户可以登录 Sitecore，但 DEPARTMENT\Siteco
active-directory - Active Directory memberof 属性不包含嵌套的安全组
我使用的 AD 设置具有存储为(多个)安全组成员的用户。我正在使用读取用户的 memberof 属性的软件来计算访问权限。在 AD Explorer 中，我可以看到用户的 memberof 属性显
active-directory - 支持使用 Active Directory 进行单点登录
我们有一个在 .NET 上编写的 SaaS 应用程序，我们需要为我们的客户提供各种 SSO 方法。不久前，我们对 OpenID 进行了标准化，希望这会成为一个通用标准，让我们不必支持不同的标准。不幸
active-directory - 如何复制和设置测试 Active Directory DC
我有 .Net 代码可以读取/写入我们本地的 Active Directory 域。阅读部分已经过测试并且工作正常，但我想测试“写作”部分。我的应用程序将修改事件目录中的一些用户配置文件，但我不想在实
active-directory - 在 Active Directory 中查找域名
我正在运行一个 ASP.NET 4.0 应用程序，它使用用户名(即 HttpContext.Current.Request.LogonUserIdentity.Name.ToString())来管理对

首页

博学

6Ren·AI

商城