ручной нетлогон - PullRequest
Новая
       1

ручной нетлогон

0 голосов
/ 03 ноября 2011

Кто-нибудь знает, как бы я сделал netlogon вручную или любым другим способом аутентификации пользователя в удаленном домене?Мне нужно проверить аутентификацию.

Сейчас мы используем олицетворение и вызываем произвольную функцию.Проблема в том, что произвольная функция winapi будет входить в систему.Проблема состоит в том, что некоторые домены позволяют вызывать эту функцию в нулевом сеансе, вызывая ложные срабатывания.

Единственная цель этого - получить надежную и быструю аутентификацию на удаленном домене, к которому локальный компьютер не добавлен.поэтому я не стал бы отрицать другой подход.

Это решение, которое мы получили, заполнив билет MSDN. 

if(!LogonUser(username.c_str(), domain.c_str(), password.c_str(), LOGON32_LOGON_NEW_CREDENTIALS, LOGON32_PROVIDER_WINNT50, &token))
{
    debug->DebugMessage(Error::GetErrorMessageW(GetLastError()));
    CloseHandle(token);
    RevertToSelf();
    return false;
}

if(!ImpersonateLoggedOnUser(token))
{
    debug->DebugMessage(Error::GetErrorMessageW(GetLastError()));
    CloseHandle(token);
    RevertToSelf();
    return false;
}
...

int err = NetUserModalsGet ....

if (err != ERROR_SUCCESS) logged_on = false;
RevertToSelf();

Ответы [ 2 ]

1 голос
/ 07 ноября 2011

Если все, что вы хотите сделать, это ответить на вопрос "действительны ли эти учетные данные для данного домена, членом которого я, возможно, не являюсь?"тогда вы можете увидеть некоторые изменения в существующих вещах, которые делают это.Ряд приложений Linux / UNIX предлагают проверку подлинности NTLM для произвольного домена без членства в домене.Большинство используют winbindd , который, как я подозреваю, работает в системе Windows, вызывает проблемы.

Примечательно, что для этого есть модуль apache , который может работать безвнешние зависимости.Возможно, вам повезет, просматривая их источники, в частности mod_ntlm.c , и узнав, как они обрабатывают пакеты запросов для контроллера домена и анализируют ответы.

0 голосов
/ 13 ноября 2011

Не уверен, если вы учли тот факт, что существует множество проблем конфигурации инфраструктуры, связанных с использованием встроенной безопасности Windows в удаленных доменах.Правильно ли установлены доверительные политики?Какой SSPI вы используете NTLM, Kerberos, PKU2U, DPA и т. Д.?

Правильно ли они настроены для вашего сценария использования?

Хорошо ... Узнав больше о вашем сценарии,Рассматривается использование пользовательских GINA?

http://msdn.microsoft.com/en-us/library/aa380543(v=VS.85).aspx

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...