以远程计算机上的用户身份访问Com+应用

最新推荐文章于 2020-08-08 13:04:59 发布
最新推荐文章于 2020-08-08 13:04:59 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: miscellaneous
DELPHI程序员开发com+应用的速度是非常快的,其主要原因是其较好地封装了com+的windows底层功能,开发人员通过较为简单的类继承就避开了复杂的com+底层技术细节,使开发人员将精力放在应用本身的功能上面。Delphi在封装com+应用时采取了许多折衷,在保留通用性的同时也避开了一些实现起来困难但是应用面不太广的com+底层特性。这些避开的特性中最令delphi com开发人员关心的就是安全特性。从delphi 5开始,有许多人都面临过这样的问题:com应用开发出来并且在本机上运行一切正常,但是一旦分发出去实施远程访问时,就无法正常运行了。我自己有段时间在看到“拒绝访问”错误提示时会本能的头晕。其实认真追究起来,还是因为自己对windows安全技术了解不多造成的。多年来我一直没有发现国内有windows安全方面比较系统的资料和书籍,直到Keith Brownr的<windows安全性编程>中文版的出现。正是基于这本书我才有了下面的一些试验,也知道了为什么我老是补拒绝的原因。下面的讨论只是我在解决自身现有代码的安全访问问题时,总结出的几个小经难方法。建议愿意了解windows安全性的朋友去看一看<windows安全性编程>一书,你会发现windows的安全不再神秘。
这篇文章将会说明如何以远程工作站上的用户身份激活com+对象,并以此用户身份访问Interface。
1、        Delphi默认com+对象的远程激活

  Delph中远程com+对象激活一般通过TdispatchConnection及其子类来实现,实际代码中多用TDCOMConnection或TsocketConnectoion这两个组件,TDCOMConnection组件最终调用CoCreateInstanceEx创建com+对象。CoCreateInstanceEx (const clsid: TCLSID; unkOuter: IUnknown; dwClsCtx: Longint; ServerInfo:PCoServerInfo;dwCount: Longint; rgmqResults: PMultiQIArray): HResult。

TDCOMConnection在调用CoCreateInstanceEx时为pCoServerInfo参数中的pAuthInfo传递了Null值,因此TdcomConnection在创建Com对象时使用的是本地计算机登录者的用户令牌。
假若A计算机上的登录用户Auser使用TDCOMConnection类连接远程计算机B上的com+对象,则B计算机会使用Auser的用户名/密码在B计算机上建立登录会话并最终创建com+对象。但是一台windows工作站上的本地用户只能在本地登录而无法在别的计算机上登录,因此A计算机上的Auser就无法在B工作站上建立登录会话,当然也就无法创建com+对象,此时远程工作站B会尝试用Guest帐户建立会话并使用该账户激活com+对象。在这种情况下,如果B工作站上的Guest账户没有启用或Guest没有激活com+对象的权限,你就会看见令人头晕的提示“拒绝访问”。看到这里你是不对现在网上最“流行”的dcom配置方法有所悟了呢。那个方法就是允许everyone访问、激活com对象、并且将“默认身份验证级别”设置成无。这种方法能够使你的com应用可以“用了”,但是,它可以上“任何人”访问。而且这种设置你将无法利用com+基于角色的安全访问控制功能。
   2、怎样不用GUEST账户激活
这个问题的实际上应该是:怎样用远程工作站上的用户激活远程com对象。解决这个问题其实很简单:只要你在调用CoCreateInstanceEx时为它指定远程工作站上的用户名和密码,只要用户名/密码通过远程计算机的验证,并且该用户被授予了“远程激活”com+对象的权限,那么远程工作站会用该用户身份激活com+对象。看一下代码:

  var

    mts:IMTSXjpimsDB;

    ov:Variant;

    i:integer;

    cai:_CoAuthInfo;

    cid:_CoAuthIdentity;

    csi:COSERVERINFO;

    mqi:MULTI_QI;

    iid_unk:TGUID;

    idsp:IDispatch;

    wUser,wDomain,wPsw:WideString;

  begin

    wUser:=eduser.text;//用户名

    wDomain:=edSvr.Text;//远程计算机名

    wPsw:=edPsw.Text;//密码

    cid.user:=pUnshort(@wUser[1]);

    cid.UserLength:=length(wUser);

    cid.Domain:=pUnshort(@wDomain[1]);

    cid.DomainLength:=length(wDomain);

    cid.password:=pUnshort(@wPsw[1]);

    cid.PasswordLength:=length(wPsw);

    cid.Flags:=2;

    //以上填充_CoAuthIdentity结构

    cai.dwAuthnSvc:=10;//winNt默认的鉴证服务

    cai.dwAuthzSvc:=0;

    cai.pwszServerPrincName:=wDomain;

    cai.dwAuthnLevel:=0;

    cai.dwImpersonationLevel:=3;//必须设置成模拟

    cai.pAuthIdentityData:=@cid;

    cai.dwCapabilities:=$0800;

  //以上填充_CoAuthInfo结构

    FillChar(csi, sizeof(csi), 0);

    csi.dwReserved1:=0;

    csi.pwszName:=pwidechar(wdomain);

    csi.pAuthInfo:=@cai;

    //以上填充COSERVERINFO结构

    iid_unk:=IUnknown;

    mqi.IID:=@iid_unk;mqi.Itf:=nil;mqi.hr:=0;

    Screen.Cursor:=crHourGlass; olecheck(CoCreateInstanceEx(CLASS_MTSXjpimsDB,nil,CLSCTX_REMOTE_SERVER,@csi,1,@mqi));

这段代码中除了最后实际调用CoCreateInstanceEx外,前面的代码都是设置参数。这些参数的含义请大家参考msdn,除了用户名、主机名、密码外,只有一个重要要部分要说明:cai.dwImpersonationLevel必须设置成允许模拟(值为3),否则远程计算机将无法按提供的用户/密码建议网络会话。
3、不修改现有代码,可以实现用远程用户身份激活吗?
当然可以,我扩展了TDcomConnection类,为其加入了用户名和密码,并修改其默认的DoConnect方法,使其在调用CoCreateInstanceEx时用指定的用户名和密码填充参数。代码如下:

  unit SecDComConnection;

  

  interface

  

  uses

    windows,SysUtils, Classes,ActiveX, DB, DBClient, MConnect,comobj,Midas;

  

  type

  

  {typedef struct _SEC_WINNT_AUTH_IDENTITY

   unsigned short __RPC_FAR* User;

    unsigned long UserLength;

    unsigned short __RPC_FAR* Domain;

    unsigned long DomainLength;

    unsigned short __RPC_FAR* Password;

    unsigned long PasswordLength;

    unsigned long Flags;

   SEC_WINNT_AUTH_IDENTITY, *PSEC_WINNT_AUTH_IDENTITY;

  }

    {typedef struct _COAUTHIDENTITY

      USHORT * User;

      ULONG UserLength;

      USHORT * Domain;

      ULONG DomainLength;

      USHORT * Password;

      ULONG PasswordLength;

      ULONG Flags;

  COAUTHIDENTITY;}

  

  {#define RPC_C_AUTHN_NONE            0

  #define RPC_C_AUTHN_DCE_PRIVATE     1

  #define RPC_C_AUTHN_DCE_PUBLIC      2

  #define RPC_C_AUTHN_DEC_PUBLIC      4

  #define RPC_C_AUTHN_GSS_NEGOTIATE   9

  #define RPC_C_AUTHN_WINNT          10

  #define RPC_C_AUTHN_GSS_SCHANNEL   14

  #define RPC_C_AUTHN_GSS_KERBEROS   16

  #define RPC_C_AUTHN_MSN            17

  #define RPC_C_AUTHN_DPA            18

  #define RPC_C_AUTHN_MQ            100

  #define RPC_C_AUTHN_DEFAULT       0xFFFFFFFFL

  }

  

  {#define RPC_C_AUTHZ_NONE      0

  #define RPC_C_AUTHZ_NAME      1

  #define RPC_C_AUTHZ_DCE       2

  #define RPC_C_AUTHZ_DEFAULT   0xFFFFFFFF }

  

  {

  #define RPC_C_AUTHN_LEVEL_DEFAULT         0

  #define RPC_C_AUTHN_LEVEL_NONE            1

  #define RPC_C_AUTHN_LEVEL_CONNECT         2

  #define RPC_C_AUTHN_LEVEL_CALL            3

  #define RPC_C_AUTHN_LEVEL_PKT             4

  #define RPC_C_AUTHN_LEVEL_PKT_INTEGRITY   5

  #define RPC_C_AUTHN_LEVEL_PKT_PRIVACY     6 }

  

  {SEC_WINNT_AUTH_IDENTITY_UNICODE=2 }

  

     pUnShort=^Word;

  

     pCoAuthIdentity=^_CoAuthIdentity;

     _CoAuthIdentity=record

       user:pUnShort;

       UserLength:ULONG;

       Domain:pUnShort;

       DomainLength:Ulong;

       password:pUnShort;

       PasswordLength:ulong;

       Flags:ulong;

     end;

  

    _CoAuthInfo=record

      dwAuthnSvc:DWORD;

      dwAuthzSvc:DWORD;

      pwszServerPrincName:WideString;

      dwAuthnLevel:Dword;

      dwImpersonationLevel:dword;

      pAuthIdentityData:pCoAuthIdentity;

      dwCapabilities:DWORD;

    end;

  

    TSecDComConnection = class(TDCOMConnection)

    private

     FCai:_CoAuthInfo;

     FCid:_CoAuthIdentity;

     FSvInfo:COSERVERINFO;

     FUser:WideString;

     FPassWord:WideString;

     procedure SetPassword(const Value: wideString);

     procedure SetUser(const Value: wideString);

      procedure SetSvInfo(const Value: COSERVERINFO);

    protected

      procedure DoConnect; override;

  

    public

      property SvInfo:COSERVERINFO read FSvInfo write SetSvInfo;

      constructor Create(AOwner: TComponent); override;

      procedure MySetBlanket(itf:IUnknown;const vCai:_CoAuthInfo);

      function GetServer: IAppServer; override;

    published

      property User:wideString read FUser write SetUser;

      Property Password:wideString read FPassword write SetPassword;

    end;

  

  procedure Register;

  

  implementation

  

  constructor TSecDCOMConnection.Create(AOwner: TComponent);

  begin

    inherited Create(AOwner);

    FillMemory(@Fcai,sizeof(Fcai),0);

    FillMemory(@FCid,sizeof(FCid),0);

    FillMemory(@FSvInfo,sizeof(FSvInfo),0);

    with FCai do begin

      dwAuthnSvc:=10;//RPC_C_AUTHN_WINNT

      dwAuthzSvc:=0;// RPC_C_AUTHZ_NONE

      dwAuthnLevel:=0;//RPC_C_AUTHN_LEVEL_DEFAULT

      dwImpersonationLevel:=3;

      pAuthIdentityData:=@fcid;

      dwCapabilities:=$0800;

    end;

  end;

  

  procedure TSecDCOMConnection.DoConnect;

  var

   tmpCmpName:widestring;

   IID_IUnknown:TGUID;

   iiu:IDispatch;

   Mqi:MULTI_QI;

   qr:HRESULT;

  begin

    if (ObjectBroker) <> nil then

    begin

      repeat

        if ComputerName = '' then

          ComputerName := ObjectBroker.GetComputerForGUID(GetServerCLSID);

        try

          SetAppServer(CreateRemoteComObject(ComputerName, GetServerCLSID) as IDispatch);

          ObjectBroker.SetConnectStatus(ComputerName, True);

        except

          ObjectBroker.SetConnectStatus(ComputerName, False);

          ComputerName := '';

        end;

      until Connected;

    end

    else if (ComputerName <> '') then

      begin

        with fcid do begin

          user:=pUnshort(@fuser[1]);

          UserLength:=length(fuser);

          tmpCmpName:=ComputerName;

          Domain:=pUnshort(@tmpCmpName[1]);

          DomainLength:=length(TmpCmpName);

          password:=pUnShort(@FPassword[1]);

          PasswordLength:=length(FPassword);

          Flags:=2;//Unicode

        end;

        FSvInfo.pwszName:=pwidechar(tmpCmpName);

        FSvinfo.pAuthInfo:=@Fcai;

        IID_IUnknown:=IUnknown;

        mqi.IID:=@IID_IUnknown;mqi.Itf:=nil;mqi.hr:=0;

        olecheck(CoCreateInstanceEx(GetServerCLSID,nil,CLSCTX_REMOTE_SERVER,@FSvinfo,1,@mqi));

        olecheck(mqi.hr);

        MySetBlanket(mqi.Itf,Fcai);

        qr:=mqi.Itf.QueryInterface(idispatch,iiu);

        olecheck(qr);

        MySetBlanket(IUnknown(iiu),FCai);

        SetAppServer(iiu);

      end

      else

        inherited DoConnect;

  end;

  

  function TSecDComConnection.GetServer: IAppServer;

  var

    QIResult: HResult;

  begin

    Connected := True;

    QIResult := IDispatch(AppServer).QueryInterface(IAppServer, Result);

    if QIResult <> S_OK then

    begin

      Result := TDispatchAppServer.Create(IAppServerDisp(IDispatch(AppServer)));

    end;

    MySetBlanket(IUnknown(Result),FCai);

  end;

  

  

  procedure TSecDCOMConnection.MySetBlanket(itf: IUnknown;

    const vCai: _CoAuthInfo);

  begin

   with vCai do

   CoSetProxyBlanket(Itf,dwAuthnSvc,dwAuthzSvc,pwidechar(pAuthIdentityData^.Domain),

      dwAuthnLevel,dwImpersonationLevel,pAuthIdentityData,dwCapabilities);

  end;

  

  procedure TSecDCOMConnection.SetPassword(const Value: wideString);

  begin

    FPassword := Value;

  end;

  

  procedure TSecDCOMConnection.SetSvInfo(const Value: COSERVERINFO);

  begin

    FSvInfo := Value;

  end;

  

  procedure TSecDCOMConnection.SetUser(const Value: wideString);

  begin

    FUser := Value;

  end;

  

  

  procedure Register;

  begin

    RegisterComponents('DataSnap', [TSecDComConnection]);

  end;

  

  end.

  

  

代码中有一些C风格的注释,是因为delphi没有为我们预定义这些变量和数据结构。
如何使用呢?将这个组件安装在IDE中,并将其放到你的现有代码的远程数据模块中去,将原有指向TDOCMConnection的数据集控件设置成这个新的TSecDCOMConnection控件。然后你可以在远程计算机中设置最严格的安全选项。但是要记住应该为你要使用的用户设置合适的权限:给予远程激活权限、给予远程访问权限。
4、
到现在还没有谈到访问的问题。首先激活和访问并不是一回事。一个用户可能拥有激活权限但没有访问权限,也有可能只有访问权限却无激活权限。前面谈到CoCreateInstacnceEx可以用另一身份激活对象并取得IunKnown指针的一个本地引用。如果你直接用这个指针去取得IappServer接口并调用方法,那么你很可能又会见到“拒绝访问”信息。这是IUnKnown指针的本地引用存在于客户机的进程中,再没有做特殊设置前,该指针继承了客户机进程的本地令牌,也就是说当用这个指针获取远程IappServer接口时,会用客户机当前登录令牌调用QueryInterface,在调用过程中远程计算机将有此令牌中缓存的用户名和密码进行再次登录验证,当然此时又会被拒绝,而后远程计算机再次尝试用GUEST帐户登录并获取com对象接口,此时若没有找开GUEST访问权限,则客户端访问失败,windows返回“拒绝访问”信息。那么怎样才能使QueryInterface调用也使用远程用户身份呢,这就要调用CoSetProxyBlanket强制设置本地接口引用使用远程用户的令牌。在上面的代码中,我用MySetBlanket包装了该API,以便使用激活时的用户身份调用QueryInterface。而后在取得的IappServer接口上再次调用MySetBlanket,保证在使用该接口时也采用远程用户身份。

        MySetBlanket(mqi.Itf,Fcai);

        qr:=mqi.Itf.QueryInterface(idispatch,iiu);

        olecheck(qr);

        MySetBlanket(IUnknown(iiu),FCai);

为保证直接引用DataProvider的TclientDataSet也能按上述要求工作,在扩展的TSecDCOMConnection控件中,重载了GetServer方法。这样TSecDCOMConnection已能完全替换TDCOMConnection实现便利的com+应用编程了。
由于时间仓促,写这篇时很多术语没有做解释交待,因此可能会有一些不太好理解,但是出于为delphi Fans提供一个简单的实现安全性com访问的方法,我还是将这篇贴上来,主要是可以让需要的朋友直接复制代码用在自己的应用上。使用TSecDCOMConnection后,服务器方的com+对象可以强制找开访问检查,并打开组件级的访问检查。在打开访问检查的情况下,必须将服务器中允许访问com+对象的用户名加入到角色中才能正确访问。
(上述代码在delphi7/winXP sp2中调试通过,对于windows98和windows nt4.0及以下操作系统,由于CoCreateInstanceEx不能直接生成com+对象的安全上下文,因此代码不可用)

http://school.cnd8.com/delphi/jiaocheng/7002.htm
embededvc
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
windows server 2008 r2 COM+配置
yz304zhang的博客
02-14 4717
1 服务器角色,增加“应用程序服务器”。 2 组件服务-计算机-我的电脑-属性-默认属性页的默认身份验证级别是“连接”,默认模拟级别是“标识” 3 COM安全页-访问权限-编辑限制,设置帐号“Everyone”为允许“本地访问”和“远程访问”。启动和激活权限为“Everyone”允许“本地启动”、“远程启动”、“本地激活”、“远程激活”。
解决关于iis 中使用 word COM+ 组件的问题 ,应该基本上 都是 权限授权的问题
wzhangjinghai的专栏
12-11 2285
因为这类问题基本上都是授权问题,现在先解释一下这几个登陆标识:The interactive user 交互式用户 、The launching user 、this user 、the system account(services only)  下面引用了微软文档 ,翻译使用的是百度翻译(我的英文比较差,o(* ̄︶ ̄*)o) 1、The interactive user 交互式用户  微
COM/COM+远程匿名访问测试成功[转]
weixin_30873847的博客
06-11 179
详细步骤!1、首先在VB中写一ActiveX(DLL)组件,工程名为COMTEST。编译后在另一程序中调用,确认组件工作正常。2、打开“控制面板/管理/组件服务”,在“COM+应用程序”下利用“COM+应用程序安装向导”创建一个空的COM+应用程序,名称为“COMTEST”。3、在“COMTEST”下,新建“组件”,在“组件安装向导”中,选择“安装新组件”(注意:不要使用“导入已被注册的组件”),...
远程电脑上的COM+应用程序调用
韩俊俊的博客
12-27 5370
string _methodName = string.Empty; string[] param; string CRYPTODATA = string.Empty; string inxml = string.Empty; _methodName = "GETPSNINFO";
专业前沿
爱.NET
12-06 231
我院学生的主要就业企业及领域 我院学生的主要就业企业有大公司、小公司、国企,外企。大公司比如腾讯、淘宝、华为、百度等,小公司比如聚美优品,久远银海等等,国企比如TCL,中移动等等,外企比如赛门铁克,宏利金融等等。这些企业在行内都是有名气的。就业领域主要是互联网。我们学院的主向是Java,所以以J2EE架构做企业级软件、行业软件的比较多。此外,手机智能终端(以Android居多)、桌面软件、嵌入...
COM+开发人员参考库 第2卷 COM+编程参考
04-21
COM+,全称为Component Object Model Plus,是微软公司推出的一种基于组件的软件开发技术,它在原有的COM(Component Object Model)基础上进行了扩展和增强,旨在提供更高效、更灵活的分布式应用程序开发框架。COM+...
Security+ 7. 管理身份识别和访问
f_carey的博客
08-08 461
7. 管理身份识别和访问7.1 身份识别和访问管理7.1.1 访问控制模型7.2 配置目录服务7.3 配置访问服务7.4 管理账户7.4.1 账户策略(account policy)7.4.2 密码策略7.4.3 账户管理安全控制7.4.4 组策略7.4.5 身份联合7.4.6 管理账户准则 7.1 身份识别和访问管理 身份识别和访问管理(Identity and access amangement/IAM)是一种安全流程,为用户计算机等提供身份识别,认证和授权机制,以便能够使用网络,操作系统和应用程序
NIIT-SM4-COM+
03-09
7. **分布式应用程序开发**:学习如何使用COM+构建跨越多个计算机的分布式应用,包括远程接口调用和marshalling(序列化和反序列化)。 8. **案例分析和实践**:通过实际项目,学生将有机会将所学知识应用于实际的...
导出word 服务器报错修正
期盼的骆驼专栏
03-10 2733
导出word 出现以下错误: 检索 COM 类工厂中 CLSID 为 {000209FF-0000-0000-C000-000000000046} 的组件失败,原因是出现以下错误: 8000401a 因为配置标识不正确,系统无法开始服务器进程。请检查用户名和密码。 (异常来自 HRESULT:0x8000401A)。 这个问题是权限问题。 1.开始-dcomcnfg,启动组件服务
Delphi下的COM编程
zyyjc的专栏
04-10 1228
Delphi通过向导可以非常迅速和方便的直接建立实现COM对象的代码,但是整个COM实现的过程被完全的封装,甚至没有VCL那么结构清晰可见。一个没有C++下COM开发经验甚至没有接触过COM开发的Delphi程序员,也能够很容易的按照教程设计一个接口,但是,恐怕深入一想,连生成的代码代表何种意义,哪些能够定制都不清楚。前几期 “DELPHI下的COM编程技术”一文已经初步介绍了COM的一些基本概念
OPC客户端连接OPCserver报错或拒绝访问
热门推荐
jzl_11的博客
11-20 2万+
最近在使用opc,就研究了一下,也不是很深入,但是却可以保证客户端正常可以连接服务端。 客户端和服务端的配置请查看下面文档《摘自网友的这篇文章》: https://www.cnblogs.com/Frankie1980/p/10830119.html 问题描述: client可以看到服务端的设备,但是拒绝访问 解决方案: 1.创建相同的用户和密码 2.增加用户和权限(everyone...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值