LogonUser и делегирование

Question

Я использую Win32 API LogonUser:

token = LogonUser(...)
WindowsIdentity newId = new WindowsIdentity(token);            
WindowsImpersonationContext impersonatedUser = newId.Impersonate();

Однако при вызове службы WCF после этого я не могу использовать олицетворенную личность. Я думаю, что это потому, что impersonatedUser.ImpersonationLevel равно Impersonation.

Это причина? Нужен ли уровень ImpersonationLevel.Identification? Как получить такой уровень?

Answer 1

Я не знаю, будет ли это работать для WCF. Но мы используем его в нашем производственном веб-приложении для олицетворения для чтения и записи файлов в файловую систему. Вам нужно будет определить API-интерфейсы для AdvApi32.LogonUser, AdvApi32.DuplicateToken и Kernel32.CloseHandle и обязательно закройте WindowsImpersonationContext, когда вы закончите.

    /// <summary>impersonates a user</summary>
    /// <param name="username">domain\name of the user account</param>
    /// <param name="password">the user's password</param>
    /// <returns>the new WindowsImpersonationContext</returns>
    public static WindowsImpersonationContext ImpersonateUser(String username, String password)
    {
        WindowsIdentity winId = WindowsIdentity.GetCurrent();
        if (winId != null)
        {
            if (string.Compare(winId.Name, username, true) == 0)
            {
                return null;
            }
        }

        //define the handles
        IntPtr existingTokenHandle = IntPtr.Zero;
        IntPtr duplicateTokenHandle = IntPtr.Zero;

        String domain;
        if (username.IndexOf("\\") > 0)
        {
            //split domain and name
            String[] splitUserName = username.Split('\\');
            domain = splitUserName[0];
            username = splitUserName[1];
        }
        else
        {
            domain = String.Empty;
        }

        try
        {
            //get a security token

            bool isOkay = AdvApi32.LogonUser(username, domain, password,
                (int) AdvApi32.LogonTypes.LOGON32_LOGON_INTERACTIVE,
                (int) AdvApi32.LogonTypes.LOGON32_PROVIDER_DEFAULT,
                ref existingTokenHandle);

            if (!isOkay)
            {
                int lastWin32Error = Marshal.GetLastWin32Error();
                int lastError = Kernel32.GetLastError();

                throw new Exception("LogonUser Failed: " + lastWin32Error + " - " + lastError);
            }

            // copy the token

            isOkay = AdvApi32.DuplicateToken(existingTokenHandle,
                (int) AdvApi32.SecurityImpersonationLevel.SecurityImpersonation,
                ref duplicateTokenHandle);

            if (!isOkay)
            {
                int lastWin32Error = Marshal.GetLastWin32Error();
                int lastError = Kernel32.GetLastError();
                Kernel32.CloseHandle(existingTokenHandle);
                throw new Exception("DuplicateToken Failed: " + lastWin32Error + " - " + lastError);
            }
            // create an identity from the token

            WindowsIdentity newId = new WindowsIdentity(duplicateTokenHandle);
            WindowsImpersonationContext impersonatedUser = newId.Impersonate();

            return impersonatedUser;
        }
        finally
        {
            //free all handles
            if (existingTokenHandle != IntPtr.Zero)
            {
                Kernel32.CloseHandle(existingTokenHandle);
            }
            if (duplicateTokenHandle != IntPtr.Zero)
            {
                Kernel32.CloseHandle(duplicateTokenHandle);
            }
        }
    }

Answer 2

после этого я не могу использовать олицетворенная личность

Олицетворение должно быть эффективным для доступа в том же ящике, но не в сети.

Возможно, как показывает код консультанта, вам нужно просто вызвать DuplicateToken (), чтобы преобразовать токен входа в систему в токен олицетворения, прежде чем его можно будет использовать.

Я думаю, что это потому, что impersonatedUser.ImpersonationLevel равен Impersonation.

Если вам нужно выступать в роли другого пользователя для других систем, вам необходим более высокий уровень олицетворения, называемый «делегирование». Это в основном эквивалентно наличию пароля пользователя, так что вы можете представлять себя им как других.