使用C# impersonation进行windows帐号的校验

最新推荐文章于 2024-04-22 07:50:51 发布
最新推荐文章于 2024-04-22 07:50:51 发布
阅读量469 收藏
点赞数
文章标签: c# 操作系统 runtime

一早在浏览代码时看到如下代码(我想这段代码的来源是kb306158),这段代码的作用是,当一个通过Active Directory账号登陆系统的用户,需要上传、创建目录、下载时,需要先校验该用户是否具有目录操作权限, 代码如下:

public const int LOGON32_LOGON_INTERACTIVE = 2;
public const int LOGON32_PROVIDER_DEFAULT = 0;
private string _logOnUsername;
private string _logOnDomain;
private string _logOnPassword;

WindowsImpersonationContext impersonationContext;

// to check whether the acct info input is a logoned one, 
// if past the validation, output a token 
[DllImport("advapi32.dll", CharSet = CharSet.Auto)]
public static extern int LogonUser(String lpszUserName,
    String lpszDomain,
    String lpszPassword,
    int dwLogonType,
    int dwLogonProvider,
    ref IntPtr phToken);

// create a new token derived from the input token
[DllImport("advapi32.dll", CharSet = System.Runtime.InteropServices.CharSet.Auto,
        SetLastError = true)]
public extern static int DuplicateToken(IntPtr hToken,
    int impersonationLevel,
    ref IntPtr hNewToken);

// to impersonate
private bool impersonateValidUser(String userName, String domain, String password)
{
    WindowsIdentity tempWindowsIdentity;
    IntPtr token = IntPtr.Zero;
    IntPtr tokenDuplicate = IntPtr.Zero;

    // validate whether logoned on with the supplied parameters
    if (LogonUser(userName, domain, password, LOGON32_LOGON_INTERACTIVE,
        LOGON32_PROVIDER_DEFAULT, ref token) != 0)
    {
	 // SecurityImpersonation
	 // The server can impersonate the client's security context on the local system.
	 if (DuplicateToken(token, 2, ref tokenDuplicate) != 0)
        {
            tempWindowsIdentity = new WindowsIdentity(tokenDuplicate);
            impersonationContext = tempWindowsIdentity.Impersonate();
            if (impersonationContext != null)
                return true;
            else
                return false;
        }
        else
            return false;
    }
    else
        return false;
}

private void undoImpersonation()
{
    impersonationContext.Undo();
}

// the parameters' value are all kept in web.config,
// it's a fixed account, not current logined user's acct.
public FileAccess(string logonDomain, string logonUsername, string logonPassword)
{
    _logOnDomain = logonDomain;
    _logOnUsername = logonUsername;
    _logOnPassword = logonPassword;
}

public bool FileExists(string filePathName)
{
    if (impersonateValidUser(_logOnUsername, _logOnDomain, _logOnPassword))
    {
        try
        {
            if (File.Exists(filePathName))
            {
                return true;
            }
            else
            {
                return false;
            }
        }
        finally
        {
            undoImpersonation();
        }
    }
    else
    {
        throw (new Exception("Failed in impersonation."));
    }
}


代码中使用FileAccess进行对象初始化,其中logonDomain,logonUserName,logonPWD均被配置于web.config中。使用impersonateValidUser方法校验目录操作权限,

Q: 为什么需要DuplicateToken

A: 先要了解进行Windows校验所需要的一点基础,文中认为使用LogonUser后拿到的token是当前用户的,我们不能用它来创建对象或是做别的什么事,这样不安全,所以应该使用如下两种中的一种来创建被复制的新token,

> SecurityImpersonation    The server can impersonate the client's security context on the local system.

> SecurityDelegation    The server can impersonate the client's security context on remote systems.

At the SecurityImpersonation level, most of the thread's actions occur in the security context of the thread's impersonation token rather than in the primary token of the process that owns the thread. For example, if an impersonating thread opens a securable object, the system uses the impersonation token to check the thread's access. Similarly, if an impersonating thread creates a new object, for example by calling the CreateFile function, the owner of the new object is the default owner from the client's access token.

Q: 这个被模拟的用户(即此处的FileAccess中传入的帐号信息)的权限应该设置为什么?

A: 在KB306158中,已经给出如下解决方案

> 为 ASPNET 帐户授予“作为操作系统的一部分”权限。(注意:我们不建议使用这种方法解决此问题。)

> 在 Machine.config 文件的 <processModel> 配置节中,将运行 Aspnet_wp.exe 进程所使用的帐户更改为 System 帐户。

在此贴中,这位大牛提出了这个问题,他认为无论是使用LogonUser还是使用System.DiretoryServices都是不完美的,有漏洞的。比如LogonUser必须会提供一个有SE_CHANGE_NOTIFY_NAME权限的账号,这个比较麻烦,使用DirectoryServices则需要查看AD属性,并认为这种方式会在客户端留下AD scheme的缓存,代价太大不划算,且GetLastError捕捉的异常也并不能100%定位是否是用户校验未通过,见下面这段代码。

// create a "principal context" - e.g. your domain (could be machine, too)
using(PrincipalContext pc = new PrincipalContext(ContextType.Domain, "YOURDOMAIN"))
{
    // validate the credentials
    bool isValid = pc.ValidateCredentials("myuser", "mypassword")
}

还可以进行一些延伸阅读 See also:

  1. Create a Web Service Method to Manage a NT Service
  2. 微软KB306158:How to implement impersonation in an ASP.NET application (可自行将en-us改成zh-cn转向中文版)
  3. 关于etern关键字和DLLImport
  4. DuplicateToken Function
  5. WindowsIdentity
  6. impersonationContext.Undo()
  7. WindowsIdentity.Impersonate Method ()

我觉得到了这一步,我已经对windows/AD登陆用户的校验大致有了一点了解。

weixin_34029680
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
user-impersonation-spring-security
05-13
使用Spring Security进行用户模拟
impersonate c#
weixin_34185364的博客
10-10 230
using  System; using System.Security.Principal; using System.Runtime.InteropServices; namespace impersonate {     public class ImpersonateConnection     {         //definition for Impersona...
Windows的用户管理中的用户模拟 impersonate
thunder09的专栏--没事就写点儿
01-07 1640
Windows的用户管理中的用户模拟 收藏 用户模拟(Impersonation)是自从Windows 2000时引入的强大的功能。Windows系统甚至允许用户模拟(Impersonation)被用在客户端/服务端的编程模型里面。  在传统模式下,比如一个远程服务器可以提供文件、打印机或者数据库服务,希望使用这些资源的客户端可以发送一个请求给远程服务器,这时候,远程服务器必须要确保客户端
在ASP.NET应用程序中使用身份模拟(Impersonation
eigo的聊哥儿
06-30 2381
 摘要 缺省情况下,ASP.NET应用程序以本机的ASPNET帐号运行,该帐号属于普通用户组,权限受到一定的限制,以保障ASP.NET应用程序运行的安全。但是有时需要某个ASP.NET应用程序或者程序中的某段代码执行需要特定权限的操作,比如某个文件的存取,这时就需要给该程序或相应的某段代码赋予某个帐号的权限以执行该操作,这种方法称之为身份模拟(Impersonation)。本文介绍了在
Window模拟用户登入
weixin_34261739的博客
08-13 186
最近在项目中出现一个这样的需求:在Server服务器上有一个目录(暂时叫Server文件夹吧),在该文件夹上做了权限设置,设置只有Kevin和Tom两个用户有权限对这个文件夹进行操作(上传文件),现在新来了个员工Joms,这个人暂时也需要有对该文件夹上传文件的权限,但是又不想直接给他设置权限,希望能够让他模拟Kevin或者Tom的权限来操作想了好久,后来公司的老员工想到了这个方法:现在把代码贴出来...
.net安全编程 阅读笔记(三)
weixin_30685047的博客
02-23 54
基于角色的安全性 当用户访问一个计算机系统时,他们必须首先证明自己的身份,这个过程被称作验证,验证要求用户提供一组能够唯一标识自己身份的凭据,这通常是一个名称和密码,当然也有可能是一个物理存在的令牌,如密码卡,以及其他可以标识用户身份的东西。之后,计算机系统通过验证其身份来决定用户是否可以访问系统。并通过授权来决定用户具有的权限。这是典型的基于角色的安全性验证。而在.NET中,.NET提供了一个...
Could not load type ‘System.Security.Principal.WindowsImpersonationContext‘ 报错
qq_38313984的博客
08-26 2133
这个报错虽然知道是引用包不匹配造成的,并且一直在Oracle.ManagedDataAccess.Core的版本那里纠结,后面发现是另一个地方引用的是Oracle.ManagedDataAccess造成的 解决办法:移除掉Oracle.ManagedDataAccess这个包,替换成Oracle.ManagedDataAccess.Core就不会再报错了 ...
[WCF权限控制]模拟(Impersonation)与委托(Delegation)[上篇]
weixin_34209406的博客
07-03 111
由于服务操作是在寄宿进程中执行,在默认的情况下,服务操作是否具有足够的权限访问某个资源(比如文件)决定于执行寄宿进程Windows帐号的权限设置,而与作为客户端的Windows帐号无关。在有多情况下,我们希望服务操作执行在基于客户端的安全上下文中执行,以解决执行服务进行帐号权限不足的问题。这就涉及到一个重要的话题——模拟(Impersonation)与委托(Delegation)[实例程序源代码...
在ASP.NET应用程序中使用身份模拟 impersonate
风移影动
07-30 1681
在ASP.NET应用程序中使用身份模拟(Impersonation) 作者: 摘要 缺省情况下,ASP.NET应用程序以本机的ASPNET帐号运行,该帐号属于普通用户组,权限受到一定的限制,以保障ASP.NET应用程序运行的安全。但是有时需要某个ASP.NET应用程序或者程序中的某段代码执行需要特定权限的操作,比如某个文件的存取,这时就需要给该程序或相应的某段代码赋予某个帐号的权限以执
C# 操作域 用管理员登录修改选定账户密码
转身→无语
08-28 2230
using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Configuration; using System.DirectoryServices; using System.Security.Principal; using System.R
Impersonate: use specified credential to execute some code in C#
farawayplace613的专栏
10-25 1583
In some scenarios we need run some code under some specified credential: 1. You want to run a windows service which to copy file to a UNC path, but the IT don't let you to use the domain account to r
pytmipe:Python库和客户端,用于令牌操作和模拟,用于在Windows进行特权升级
03-21
TMIPE是使用pytmipe库的python 3客户端。 内容 一个python客户端: tmipe ( python3 tmipe.py ) 一个python库: pytmipe 。对于将此项目包含在另一个项目中很有用 pytinstaller示例,用于获取独立的exe 文件 幻灯...
Laravel开发-impersonation
08-27
Laravel开发-impersonation 正在模拟Laravel应用程序的用户。
TokenPlayer:操纵和滥用Windows访问令牌
05-28
令牌播放器操纵和滥用... 通过使用管道进行父子进程通信,可以在非交互式上下文(例如,反向外壳)中使用。用法: General options: --help Display help menu.Impersonation Options: --impersonate Impersonates
Impostor:Django应用程序,使员工可以使用自己的凭据以其他用户身份登录
02-04
Impostor已在Django 1.11及更高版本上进行了测试。 它可能也适用于其他版本。 它还取决于Django的身份验证系统,并假定您使用其用户名进行身份验证。 Impostor是由Marko Samastur( )开发并由Andreu Vallbona( ...
C#中的Task:异步编程的瑞士军刀
qq_35320456的博客
04-19 1555
C#中的Task:异步编程的瑞士军刀
C#语法知识之循环语句
AMrss的博客
04-20 469
5、循环语句。
学生选课及成绩查询管理系统的设计与开发C#(winform + sqlserver)
最新发布
小张微说的博客
04-22 1922
源码来自网络 技术栈: C#的窗体程序开发 本系统未采用C#实现MDI——多文档窗口,因为考虑到C#的该技术与java类似,而暑期java实训时,曾用过类似的方法做过停车场管理系统,所以想为这次的系统注入一点新鲜的血液,所以本系统设计的主题采用了了C#C#TreeView 实现。 Sql server数据库 关注公众号【DotNet微说】,发送:学生选课及成绩查询管理系统,便可获取源码。 个人微信:iotzzh 公众号:DotNet微说 个人网站:www.iotzzh.com 登录界面 管理员主页
C# Lazy
大黄鸭在发光的专栏
04-20 229
C# 中,Lazy<T>类型用于支持延迟初始化。延迟初始化是一种优化策略,它允许推迟创建对象或执行某些昂贵计算的过程,直到实际需要其值的时刻。这有助于提高应用程序的启动速度和运行效率,特别是在处理资源密集型对象时。以下是关于Lazy<T>
hadoop集群安装hive
05-19
安装 Hive 需要先安装 Hadoop,因为 Hive 需要依赖于 Hadoop 文件系统和 MapReduce。下面是基于 Hadoop 2.x 版本的 Hive 安装步骤: 1. 下载 Hive 安装包并解压缩到指定目录: ``` tar -zxf apache-hive-x.x.x-bin.tar.gz sudo mv apache-hive-x.x.x-bin /usr/local/hive ``` 2. 配置环境变量: ``` export HIVE_HOME=/usr/local/hive export PATH=$PATH:$HIVE_HOME/bin ``` 3. 修改 Hive 配置文件 hive-site.xml: ``` cd $HIVE_HOME/conf cp hive-default.xml.template hive-site.xml vi hive-site.xml ``` 在 hive-site.xml 文件中添加以下配置信息: ``` <configuration> <property> <name>javax.jdo.option.ConnectionURL</name> <value>jdbc:mysql://localhost:3306/hive?createDatabaseIfNotExist=true</value> <description>JDBC connect string for a JDBC metastore</description> </property> <property> <name>javax.jdo.option.ConnectionDriverName</name> <value>com.mysql.jdbc.Driver</value> <description>Driver class name for a JDBC metastore</description> </property> <property> <name>javax.jdo.option.ConnectionUserName</name> <value>hive</value> <description>Username to use against metastore database</description> </property> <property> <name>javax.jdo.option.ConnectionPassword</name> <value>hive</value> <description>Password to use against metastore database</description> </property> <property> <name>hive.metastore.warehouse.dir</name> <value>/user/hive/warehouse</value> <description>Location of Hive warehouse directory</description> </property> <property> <name>hive.exec.local.scratchdir</name> <value>/tmp/hive</value> <description>Local scratch space for Hive jobs</description> </property> <property> <name>hive.querylog.location</name> <value>/var/log/hive</value> <description>Location of Hive query log</description> </property> <property> <name>hive.server2.enable.doAs</name> <value>false</value> <description>Enable impersonation for HiveServer2</description> </property> <property> <name>hive.server2.thrift.port</name> <value>10000</value> <description>TCP port number for HiveServer2</description> </property> </configuration> ``` 4. 修改 Hive 配置文件 hive-env.sh: ``` cd $HIVE_HOME/conf cp hive-env.sh.template hive-env.sh vi hive-env.sh ``` 在 hive-env.sh 文件中添加以下配置信息: ``` export HADOOP_HOME=/usr/local/hadoop export HIVE_CONF_DIR=/usr/local/hive/conf export HIVE_AUX_JARS_PATH=$HADOOP_HOME/share/hadoop/common/lib/mysql-connector-java-x.x.x.jar ``` 5. 启动 Hive 元数据存储服务: ``` schematool -initSchema -dbType mysql ``` 6. 启动 Hive 服务: ``` hive --service metastore & hive --service hiveserver2 & ``` 至此,Hive 部署完成。可以通过 `hive -e "show databases;"` 测试 Hive 是否正常运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值