Wie machst du Identitätswechsel .NET?

Gibt es eine einfache out of the box Weg, um einen Benutzer zu imitieren .NET?

Bisher habe ich mit diese Klasse von code-Projekt für alle meine Identitätswechsel Anforderungen.

Gibt es einen besseren Weg, es zu tun, indem Sie .NET Framework?

Ich habe eine Benutzer-Berechtigung gesetzt wird, (username, Passwort, domain-name), das ist die Identität, die ich brauche, um zu imitieren.

Konnte Sie sein spezifischer? Es gibt Tonnen von Möglichkeiten, zu tun Identitätswechsel aus der box.

InformationsquelleAutor ashwnacharya | 2008-09-24

  1. 57

    Hier ist eine gute übersicht .NET-Identitätswechsel Konzepte.

    Im Grunde werden Sie die Nutzung dieser Klassen, die sind, out of the box in der .NET framework:

    Den code können oft langwierige, obwohl, und das ist, warum Sie sehen viele Beispiele, wie die, die Sie verweisen, die versuchen, den Prozess zu vereinfachen.

    Nur ein Hinweis, dass der Identitätswechsel ist nicht die silberne Kugel, und einige APIs sind einfach nicht konzipiert, um mit Identitätswechsel.
    Link von dem niederländischen Programmierer-blog wurde ausgezeichnet. Viel intuitiver Ansatz, um Identitätswechsel als die anderen vorgestellten Techniken.

    InformationsquelleAutor Eric Schoonover

  2. 265

    "Identitätswechsel".NETTO Platz bedeutet in der Regel das ausführen von code unter einer bestimmten Benutzer-account. Es ist ein etwas separates Konzept als erste Zugriff auf das Benutzerkonto mit einem Benutzernamen und Passwort, obwohl diese beiden Ideen-pair-Mädchen, zusammen Häufig. Ich werde beschreiben, wie Sie beide, und dann erklären, wie mein SimpleImpersonation - Bibliothek, die verwendet Sie intern.

    Identitätswechsel

    Den APIs für den Identitätswechsel sind in .NET über die System.Security.Principal namespace:

    • Neueren code (.NETTO-4.6+, .NET Core, etc.) sollte in der Regel verwenden WindowsIdentity.RunImpersonated, die akzeptiert, dass ein handle auf das Symbol des Benutzerkontos, und klicken Sie dann entweder eine Action oder Func<T> für den code auszuführen.

      WindowsIdentity.RunImpersonated(tokenHandle, () =>
{
    //do whatever you want as this user.
});

      oder

      var result = WindowsIdentity.RunImpersonated(tokenHandle, () =>
{
    //do whatever you want as this user.
    return result;
});

    • Älteren code verwendet die WindowsIdentity.Impersonate Methode zum abrufen einer WindowsImpersonationContext Objekt. Dieses Objekt implementiert IDisposable, allgemein so genannt werden sollte, von einem using block.

      using (WindowsImpersonationContext context = WindowsIdentity.Impersonate(tokenHandle))
{
    //do whatever you want as this user.
}

      Während dieser API immer noch existiert .NET Framework, es sollte im Allgemeinen vermieden werden, und ist nicht verfügbar .NET-Core-oder .NET Standard.

    Zugriff auf das Benutzerkonto

    Die API für die Nutzung einen Benutzernamen und ein Passwort, um Zugriff auf einen Benutzer-account in Windows ist LogonUser - was ist eine native Win32-API. Es gibt zurzeit keine built-in .NET-API für den Aufruf, so muss man in dem resort, P/Invoke.

    [DllImport("advapi32.dll", SetLastError = true, CharSet = CharSet.Unicode)]
internal static extern bool LogonUser(String lpszUsername, String lpszDomain, String lpszPassword, int dwLogonType, int dwLogonProvider, out IntPtr phToken);

    Dies ist der basic-call-definition, aber es gibt viel mehr zu berücksichtigen, um tatsächlich nutzen es in der Produktion:

    • Abrufen eines handles mit den "sicheren" Zugriff Muster.
    • Schließen des native Griffe entsprechend
    • Code access security (CAS) Vertrauen (in .NET Framework nur)
    • Vorbei SecureString wenn Sie sammeln können, die einen sicher über Tastatureingaben.

    Die Menge an code zu schreiben, um zu veranschaulichen, all das jenseits dessen ist, was sollte in einer StackOverflow-Antwort, IMHO.

    Eine Kombinierte und Einfacher Ansatz

    Statt schreiben alle das Sie sich, betrachten Sie mit meinem SimpleImpersonation Bibliothek, die kombiniert Sie die Identitätswechsel-und Benutzer Zugang zu einer einzigen API. Es funktioniert gut, sowohl moderne und ältere Codebasis, mit der gleichen einfachen API:

    var credentials = new UserCredentials(domain, username, password);
Impersonation.RunAsUser(credentials, logonType, () =>
{
    //do whatever you want as this user.
});

    oder

    var credentials = new UserCredentials(domain, username, password);
var result = Impersonation.RunAsUser(credentials, logonType, () =>
{
    //do whatever you want as this user.
    return something;
});

    Beachten Sie, dass es ist sehr ähnlich zu der WindowsIdentity.RunImpersonated API, ist aber nicht erforderlich, dass Sie wissen nichts über token verarbeitet.

    Dies ist die API in der version 3.0.0. Siehe die Projekt-readme für mehr details. Beachten Sie auch, dass eine frühere version der Bibliothek verwendet eine API, mit der IDisposable Muster, ähnlich WindowsIdentity.Impersonate. Die neuere version ist viel sicherer, und beide sind immer noch intern verwendet.

    Dies ist sehr ähnlich wie der code, verfügbar auf msdn.microsoft.com/en-us/library/..., aber es ist unglaublich toll zu sehen, wie es alle hier aufgelistet. Unkompliziert und einfach zu integrieren in meine Lösung. Vielen Dank für all die harte Arbeit!
    Vielen Dank für dieses posting. Jedoch, in der using-Anweisung habe ich versucht, diese Zeile von code-System.Sicherheit.AUFTRAGGEBER.WindowsIdentity.GetCurrent().Namen und das Ergebnis war einfach nur der Benutzername, das ich eingeloggt mit nicht die ein ich an in den Identitätswechsel contructor.
    Würden Sie benötigen, um einen anderen login-Typen. Typ 9 bietet nur den Identitätswechsel ausgehenden Netzwerk-Anmeldeinformationen. Getestet habe ich die Typen 2, 3 & 8 aus einer WinForms-app, und Sie tun, richtig aktualisiert wird, wird die aktuelle Prinzipaldatenbank. Man würde annehmen Typen 4 und 5 gelten auch für Dienst-oder batch-Anwendungen. Siehe den link, den ich auf die in der post.
    href="http://referencesource.microsoft.com/#mscorlib/system/security/principal/windowsimpersonationcontext.cs#134" >bereits.
    "Referenz" - source-code hier zeigt deutlich Undo genannt wird, bei der Entsorgung.

    InformationsquelleAutor Matt Johnson

  3. 19

    Dies ist wahrscheinlich das, was Sie wollen:

    using System.Security.Principal;
using(WindowsIdentity.GetCurrent().Impersonate())
{
     //your code goes here
}

    Aber ich brauche mehr details um Ihnen zu helfen. Sie konnte tun, Identitätswechsel mit einer config-Datei (wenn Sie versuchen, tun dies auf einer Webseite) oder durch die Methode der Dekoratoren (Attribute), wenn es einen WCF-Dienst oder über... erhalten Sie die Idee.

    Auch, wenn wir reden über die Identität eines client bezeichnet einen bestimmten Dienst (oder web-app), die Sie benötigen, um den client zu konfigurieren richtig, so dass es leitet die entsprechenden Token.

    Schließlich, wenn das, was Sie wirklich wollen, zu tun ist, Delegation, die Sie auch brauchen, um die setup-ANZEIGE korrekt, so dass Benutzer und Maschinen sind für die Delegierung vertraut wird.

    Edit:

    Werfen Sie einen Blick hier zu sehen, wie die Identität anderer Benutzer, und für die weitere Dokumentation.

    Dieser code sieht aus wie es imitieren kann nur die Aktuelle windows-Identität. Gibt es einen Weg, um das WindowsIdentity-Objekt von einem anderen Benutzer?
    Diese funktionierte wie ein Charme
    Den link in deinem edit (msdn.microsoft.com/en-us/library/chf6fbt4.aspx - gehen zu Beispiele) ist wirklich das, was ich gesucht habe!

    InformationsquelleAutor Esteban Araya

  4. 6

    Hier ist meine vb.net Hafen von Matt Johnson ' s Antwort. Ich fügte hinzu, ein enum für die Typen Anmeldung. LOGON32_LOGON_INTERACTIVE war der erste enum-Wert, der arbeitete für sql server. Mein connection string war einfach vertraut. Kein Benutzername /Kennwort in der Verbindungszeichenfolge.

      <PermissionSet(SecurityAction.Demand, Name:="FullTrust")> _
  Public Class Impersonation
    Implements IDisposable

    Public Enum LogonTypes
      ''' <summary>
      ''' This logon type is intended for users who will be interactively using the computer, such as a user being logged on  
      ''' by a terminal server, remote shell, or similar process.
      ''' This logon type has the additional expense of caching logon information for disconnected operations; 
      ''' therefore, it is inappropriate for some client/server applications,
      ''' such as a mail server.
      ''' </summary>
      LOGON32_LOGON_INTERACTIVE = 2

      ''' <summary>
      ''' This logon type is intended for high performance servers to authenticate plaintext passwords.
      ''' The LogonUser function does not cache credentials for this logon type.
      ''' </summary>
      LOGON32_LOGON_NETWORK = 3

      ''' <summary>
      ''' This logon type is intended for batch servers, where processes may be executing on behalf of a user without 
      ''' their direct intervention. This type is also for higher performance servers that process many plaintext
      ''' authentication attempts at a time, such as mail or Web servers. 
      ''' The LogonUser function does not cache credentials for this logon type.
      ''' </summary>
      LOGON32_LOGON_BATCH = 4

      ''' <summary>
      ''' Indicates a service-type logon. The account provided must have the service privilege enabled. 
      ''' </summary>
      LOGON32_LOGON_SERVICE = 5

      ''' <summary>
      ''' This logon type is for GINA DLLs that log on users who will be interactively using the computer. 
      ''' This logon type can generate a unique audit record that shows when the workstation was unlocked. 
      ''' </summary>
      LOGON32_LOGON_UNLOCK = 7

      ''' <summary>
      ''' This logon type preserves the name and password in the authentication package, which allows the server to make 
      ''' connections to other network servers while impersonating the client. A server can accept plaintext credentials 
      ''' from a client, call LogonUser, verify that the user can access the system across the network, and still 
      ''' communicate with other servers.
      ''' NOTE: Windows NT:  This value is not supported. 
      ''' </summary>
      LOGON32_LOGON_NETWORK_CLEARTEXT = 8

      ''' <summary>
      ''' This logon type allows the caller to clone its current token and specify new credentials for outbound connections.
      ''' The new logon session has the same local identifier but uses different credentials for other network connections. 
      ''' NOTE: This logon type is supported only by the LOGON32_PROVIDER_WINNT50 logon provider.
      ''' NOTE: Windows NT:  This value is not supported. 
      ''' </summary>
      LOGON32_LOGON_NEW_CREDENTIALS = 9
    End Enum

    <DllImport("advapi32.dll", SetLastError:=True, CharSet:=CharSet.Unicode)> _
    Private Shared Function LogonUser(lpszUsername As [String], lpszDomain As [String], lpszPassword As [String], dwLogonType As Integer, dwLogonProvider As Integer, ByRef phToken As SafeTokenHandle) As Boolean
    End Function

    Public Sub New(Domain As String, UserName As String, Password As String, Optional LogonType As LogonTypes = LogonTypes.LOGON32_LOGON_INTERACTIVE)
      Dim ok = LogonUser(UserName, Domain, Password, LogonType, 0, _SafeTokenHandle)
      If Not ok Then
        Dim errorCode = Marshal.GetLastWin32Error()
        Throw New ApplicationException(String.Format("Could not impersonate the elevated user.  LogonUser returned error code {0}.", errorCode))
      End If

      WindowsImpersonationContext = WindowsIdentity.Impersonate(_SafeTokenHandle.DangerousGetHandle())
    End Sub

    Private ReadOnly _SafeTokenHandle As New SafeTokenHandle
    Private ReadOnly WindowsImpersonationContext As WindowsImpersonationContext

    Public Sub Dispose() Implements System.IDisposable.Dispose
      Me.WindowsImpersonationContext.Dispose()
      Me._SafeTokenHandle.Dispose()
    End Sub

    Public NotInheritable Class SafeTokenHandle
      Inherits SafeHandleZeroOrMinusOneIsInvalid

      <DllImport("kernel32.dll")> _
      <ReliabilityContract(Consistency.WillNotCorruptState, Cer.Success)> _
      <SuppressUnmanagedCodeSecurity()> _
      Private Shared Function CloseHandle(handle As IntPtr) As <MarshalAs(UnmanagedType.Bool)> Boolean
      End Function

      Public Sub New()
        MyBase.New(True)
      End Sub

      Protected Overrides Function ReleaseHandle() As Boolean
        Return CloseHandle(handle)
      End Function
    End Class

  End Class

    Müssen Sie mit einem Using - Anweisung enthalten einige code ausführen imitiert.

    InformationsquelleAutor toddmo

  5. 3

    Blick mehr Details von meiner vorherigen Antwort
    Erstellt habe ich ein nuget-Paket
    Nuget

    Code auf Github

    Beispiel : Sie verwenden können : 

               string login = "";
           string domain = "";
           string password = "";

           using (UserImpersonation user = new UserImpersonation(login, domain, password))
           {
               if (user.ImpersonateValidUser())
               {
                   File.WriteAllText("test.txt", "your text");
                   Console.WriteLine("File writed");
               }
               else
               {
                   Console.WriteLine("User not connected");
               }
           }

    Vieuw der vollständige code : 

    using System;
using System.Runtime.InteropServices;
using System.Security.Principal;


///<summary>
///Object to change the user authticated
///</summary>
public class UserImpersonation : IDisposable
{
    ///<summary>
    ///Logon method (check athetification) from advapi32.dll
    ///</summary>
    ///<param name="lpszUserName"></param>
    ///<param name="lpszDomain"></param>
    ///<param name="lpszPassword"></param>
    ///<param name="dwLogonType"></param>
    ///<param name="dwLogonProvider"></param>
    ///<param name="phToken"></param>
    ///<returns></returns>
    [DllImport("advapi32.dll")]
    private static extern bool LogonUser(String lpszUserName,
        String lpszDomain,
        String lpszPassword,
        int dwLogonType,
        int dwLogonProvider,
        ref IntPtr phToken);

    ///<summary>
    ///Close
    ///</summary>
    ///<param name="handle"></param>
    ///<returns></returns>
    [DllImport("kernel32.dll", CharSet = CharSet.Auto)]
    public static extern bool CloseHandle(IntPtr handle);

    private WindowsImpersonationContext _windowsImpersonationContext;
    private IntPtr _tokenHandle;
    private string _userName;
    private string _domain;
    private string _passWord;

    const int LOGON32_PROVIDER_DEFAULT = 0;
    const int LOGON32_LOGON_INTERACTIVE = 2;

    ///<summary>
    ///Initialize a UserImpersonation
    ///</summary>
    ///<param name="userName"></param>
    ///<param name="domain"></param>
    ///<param name="passWord"></param>
    public UserImpersonation(string userName, string domain, string passWord)
    {
        _userName = userName;
        _domain = domain;
        _passWord = passWord;
    }

    ///<summary>
    ///Valiate the user inforamtion
    ///</summary>
    ///<returns></returns>
    public bool ImpersonateValidUser()
    {
        bool returnValue = LogonUser(_userName, _domain, _passWord,
                LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT,
                ref _tokenHandle);

        if (false == returnValue)
        {
            return false;
        }

        WindowsIdentity newId = new WindowsIdentity(_tokenHandle);
        _windowsImpersonationContext = newId.Impersonate();
        return true;
    }

    #region IDisposable Members

    ///<summary>
    ///Dispose the UserImpersonation connection
    ///</summary>
    public void Dispose()
    {
        if (_windowsImpersonationContext != null)
            _windowsImpersonationContext.Undo();
        if (_tokenHandle != IntPtr.Zero)
            CloseHandle(_tokenHandle);
    }

    #endregion
}

    InformationsquelleAutor Cedric Michel

  6. 2

    Ich bin mir bewusst, dass ich schon spät für die party, aber ich denke, dass die Bibliothek von Phillip Allan-Harding, es ist das beste für diesen Fall und ähnliche.

    Brauchen Sie nur ein kleines Stück code wie diesen:

    private const string LOGIN = "mamy";
private const string DOMAIN = "mongo";
private const string PASSWORD = "HelloMongo2017";

private void DBConnection()
{
    using (Impersonator user = new Impersonator(LOGIN, DOMAIN, PASSWORD, LogonType.LOGON32_LOGON_NEW_CREDENTIALS, LogonProvider.LOGON32_PROVIDER_WINNT50))
    {
    }
}

    Hinzufügen und seine Klasse:

    .NET (C#) Identitätswechsel mit Netzwerk-Anmeldeinformationen

    Meinem Beispiel kann verwendet werden, wenn Sie die imitierten Anmeldung an Netzwerk-Anmeldeinformationen, aber es hat mehr Optionen.

    Ihr Ansatz scheint allgemeiner, während Sie eher auf bestimmte Parameter +1

    InformationsquelleAutor Federico Navarrete

  7. 0

    Können Sie diese Lösung verwenden. (Nuget package)
    Der source code ist verfügbar auf : Github:
    https://github.com/michelcedric/UserImpersonation

    Mehr Details
    https://michelcedric.wordpress.com/2015/09/03/usurpation-didentite-dun-user-c-user-impersonation/

    InformationsquelleAutor Cedric Michel

Schreibe einen Kommentar