如果 ASP.NET 針對 Windows 身份驗證進行配置,則 ASP.NET 依靠 IIS,利用配置好的身份驗證模式對其客戶端進行身份驗證。IIS 通過檢查特定應用程序的元數據庫設置來確定其身份驗證模式。成功驗證某個用戶的身份後,IIS 將代表經過身份驗證的用戶的 Windows 令牌傳遞給宿主 ASP.NET 的 ASP.NET 輔助進程 (w3wp.exe)。如果應用程序使用在 IIS 中配置的虛擬目錄來支持匿名訪問,該令牌代表匿名 Internet 用戶帳戶;否則,該令牌代表經過身份驗證的用戶。
IIS 支持以下身份驗證模式:
匿名。如果不需要對客戶端進行身份驗證(或者使用自定義身份驗證機制,如窗體身份驗證),則可將 IIS 配置為允許匿名訪問。在該事件中,IIS 創建一個 Windows 令牌來表示具有相同匿名(或客人)帳戶的所有匿名用戶。默認的匿名帳戶是 IUSR_MACHINENAME,其中 MACHINENAME 是安裝期間指定的計算機的 NetBIOS 名稱。
基本。基本身份驗證要求用戶以用戶名和密碼的形式提供憑據來證明他們的身份。基本身份驗證基於 Internet 標准 RFC 2617,所有常用浏覽器都支持它。用戶的憑據以未加密的 Base64 編碼格式從浏覽器傳送到 Web 服務器。為了更好保護這些憑據,只要在使用基本身份驗證同時再使用安全套接字層 (SSL) 即可。由於 Web 服務器包含未加密的用戶憑據,因此 ASP.NET 應用程序可以模擬調用方並使用他們的憑據來訪問網絡資源。
集成的 Windows。集成的 Windows 身份驗證(以前稱為 NTLM,也稱為 Windows NT 質詢/應答身份驗證,Windows NT Challenge/Response)是使用 Kerberos v5 身份驗證還是 NTLM 身份驗證,取決於客戶端和服務器的配置。服務器與客戶端協商確定要使用的協議。如果滿足以下條件,則使用 Kerberos 身份驗證:
ASP.NET Web 應用程序正在 NetworkService 帳戶或自定義域帳戶下運行。如果應用程序在本地帳戶(如 Windows 2000 Server 上的 ASPNET 帳戶)上運行,則使用 NTLM 身份驗證。
域帳戶的 Active Directory 中有一個服務主要名稱 (SPN),該域帳戶用於運行客戶端進行身份驗證所使用的服務。
客戶端計算機和服務器計算機至少需要運行 Windows 2000 Server,且處在相同的(即信任的)Windows 域中。
注 默認情況下,對於 Windows Server 2003 操作系統啟用集成 Windows 身份驗證。然而,如果 Windows Server 2003 Service Pack 1 (SP1) 作為 Windows Server 2003 操作系統整合安裝的一部分進行安裝,則默認情況下禁用集成 Windows 身份驗證。如果使用 SP1 升級 Windows Server 2003,則集成 Windows 身份驗證的設置與其 Windows Server 2003 設置相同。
應該使用集成 Windows 身份驗證而不是基本身份驗證,因為前者避免了通過網絡傳輸用戶憑據。由於 Kerberos v5 身份驗證支持相互身份驗證,因此用戶還可以對正在連接的服務器進行身份驗證。
集成 Windows 身份驗證最適合於 Intranet 環境,其中的客戶端計算機和 Web 服務器計算機都是相同(即信任的)域的一部分。
NTLM 身份驗證NTLM 是用於 Windows NT 和 Windows 2000 Server 工作組環境的身份驗證協議。它還用在必須對 Windows NT 系統進行身份驗證的混合 Windows 2000 Active Directory 域環境中。當 Windows 2000 Server 轉換為不存在下層 Windows NT 域控制器的本機模式時,禁用 NTLM。然後 Kerberos v5 變成企業級的默認身份驗證協議。
NTLM 身份驗證機制
圖 1 顯示 NTLM 協議。
下面概述質詢/應答機制:
用戶請求訪問。用戶嘗試通過提供用戶憑據登錄到客戶端。登錄前,客戶端計算機緩存密碼的哈希值並放棄密碼。客戶端向服務器發送一個請 求,該請求包括用戶名以及純文本格式的請求。
服務器發送質詢消息。服務器生成一個稱為質詢的 16 字節隨機數(即 NONCE),並將它發送到客戶端。
客戶端發送應答消息。客戶端使用由用戶的密碼生成的一個密碼哈希值來加密服務器發送的質詢。它以應答的形式將這個加密的質詢發回到服 務器。
服務器將質詢和應答發送到域控制器。服務器將用戶名、原始質詢以及應答從客戶端計算機發送到域控制器。
域控制器比較質詢和應答以對用戶進行身份驗證。域控制器獲取該用戶的密碼哈希值,然後使用該哈希值對原始質詢進行加密。接下來,域控 制器將加密的質詢與客戶端計算機的應答進行比較。如果匹配,域控制器則發送該用戶已經過身份驗證的服務器確認。
服務器向客戶端發送應答。假定憑據有效,服務器授予對所請求的服務或資源的客戶端訪問權。
Kerberos 身份驗證與 NTLM 身份驗證相比,Kerberos 身份驗證具有以下優勢:
相互身份驗證。當客戶端使用 Kerberos v5 協議對特定服務器上的特定服務進行身份驗證,Kerberos 為客戶端提供網絡上惡意代碼不會模擬該服務的保證。
委托支持。使用 Kerberos 身份驗證對客戶端進行身份驗證的服務器可以模擬這些客戶端,並使用該客戶端的安全上下文訪問網絡資源。
性能。Kerberos 身份驗證提供優於 NTLM 身份驗證的改進的性能。
簡化的信任管理。具有多個域的網絡不再需要一組復雜的顯式、點對點信任關系。
互操作性。Microsoft 實現的 Kerberos 協議基於向 Internet 工程任務組 (IETF) 推薦的標准跟蹤規范。因此,Windows 2000 中協議的實現為與其他網絡的互操作奠定了基礎(其中 Kerberos 版本 5 用於身份驗證)。
Kerberos 身份驗證機制
圖 2 顯示 Kerberos 身份驗證協議的簡化視圖。
當客戶端對網絡服務進行身份驗證之後,Kerberos v5 協議遵循以下步驟:
客戶端從 KDC 請求 TGT。用戶試圖通過提供用戶憑據登錄到客戶端。客戶端計算機 上的 Kerberos 服務向密鑰發行中心 (KDC) 發送一個 Kerberos 身份驗證服務請求。該請求包含用戶名、請求票證授予票證(ticket-granting ticket,TGT)所獲取的服務信息,以及使用用戶的長期密鑰(即密碼)加密的時間戳。
注 在 Windows 2000 Server 或 Windows Server 2003 操作系統上,域控制器充當 KDC,而 Active Directory 宿主安全帳戶數據庫。
身份驗證服務發送加密的 TGT 和會話密鑰。KDC 為來自 Active Directory 的用戶獲取長期密鑰(即密碼),然後解密隨請求一起傳送的時間戳。如果該時間戳有效,則用戶是真正的用戶。KDC 身份驗證服務創建一個登錄會話密鑰,並使用用戶的長期密鑰對該副本進行加密。然後,該身份驗證服務創建一個 TGT,它包括用戶信息和登錄會話密鑰。最後,該身份驗證服務使用自己的密鑰加密 TGT,並將加密的會話密鑰和加密的 TGT 傳遞給客戶端。
客戶端從 TGT 請求服務器訪問。客戶端使用其長期密鑰(即密碼)解密登錄會話密鑰,並在本地緩存 它。此外,客戶端還將加密的 TGT 存儲在它的緩存中。訪問網絡服務時,客戶端向 KDC 票證授予服務(ticket-granting service,TGS)發送一個包含信息的請求,這些信息包括用戶名、使用用戶登錄會話密鑰加密的驗證者消息、TGT,以及用戶想訪問的服務(和服務 器)名稱。
TGS 發送加密的會話密鑰和票證。KDC 上的 TGS 使用自己的密鑰解密 KDC 並提取登錄會話密鑰。它使用該登錄會話密鑰解密驗證者消息(通常是時間戳)。如果驗證者消息成功解密,TGS 從 TGT 提取用戶信息,並使用用戶信息創建一個用於訪問該服務的服務會話密鑰。它使用該用戶的登錄會話密鑰對該服務會話密鑰的一個副本進行加密,創建一個具有服務 會話密鑰和用戶信息的服務票證,然後使用該服務的長期密鑰(密碼)對該服務票證進行加密。然後,TGS 將加密的服務會話密鑰和服務票證添加到客戶端。
客戶端發送服務票證。客戶端訪問服務時,向服務器發送一個請求。該請求包含驗證者消息(時間戳),該消息使用服務會話密鑰和服務票證 進行加密。
服務器發送加密的時間戳以進行客戶端驗證。服務器解密服務票證並提取服務會話密鑰。通過使用服務會話密鑰,服務器解密驗證者消息(時 間戳)並計算它。如果驗證者通過測試,則服務器使用服務會話密鑰對驗證者(時間戳)進行加密,然後將驗證者傳回到客戶端。客戶端解密時間戳,如果該時間戳 與原始時間戳相同,則該服務是真正的,客戶端繼續連接。
服務的主要名稱
Kerberos v5 身份驗證協議之所以使用服務的主要名稱 (SPN),原因如下:
支持相互身份驗證。
允許一個客戶端請求票證,進而允許該客戶端與特定服務通訊。
例如,如果某個客戶端需要獲得一個票證,並對在偵聽端口 4766 運行的計算機 (MyServer) 上的特定服務 (MyService) 進行身份驗證,則該客戶端使用根據該信息構造的名稱從 KDC 請求一個票證,如下所示:
MyService/MyServer:4766
在 Active Directory 中注冊的 SPN 在該名稱和運行所請求的服務的域帳戶之間維護一個映射。通過使用該機制,惡意用戶難以在網絡上模擬服務。惡意用戶必須禁用實際服務並從該網絡移除實際服務 器。然後,惡意用戶必須向網絡中添加一台同名的新計算機並公開重復的服務。由於客戶端使用具有相互身份驗證的 Kerberos v5 協議,因此該客戶端將無法使用重復的服務,除非它可以提供配置實際服務進行運行的域帳戶的密碼。
Kerberos 身份驗證與 NTLM 身份驗證相比,Kerberos 身份驗證具有以下優勢:
相互身份驗證。當客戶端使用 Kerberos v5 協議對特定服務器上的特定服務進行身份驗證,Kerberos 為客戶端提供網絡上惡意代碼不會模擬該服務的保證。
委托支持。使用 Kerberos 身份驗證對客戶端進行身份驗證的服務器可以模擬這些客戶端,並使用該客戶端的安全上下文訪問網絡資源。
性能。Kerberos 身份驗證提供優於 NTLM 身份驗證的改進的性能。
簡化的信任管理。具有多個域的網絡不再需要一組復雜的顯式、點對點信任關系。
互操作性。Microsoft 實現的 Kerberos 協議基於向 Internet 工程任務組 (IETF) 推薦的標准跟蹤規范。因此,Windows 2000 中協議的實現為與其他網絡的互操作奠定了基礎(其中 Kerberos 版本 5 用於身份驗證)。
Kerberos 身份驗證機制
圖 2 顯示 Kerberos 身份驗證協議的簡化視圖。
當客戶端對網絡服務進行身份驗證之後,Kerberos v5 協議遵循以下步驟:
客戶端從 KDC 請求 TGT。用戶試圖通過提供用戶憑據登錄到客戶端。客戶端計算機 上的 Kerberos 服務向密鑰發行中心 (KDC) 發送一個 Kerberos 身份驗證服務請求。該請求包含用戶名、請求票證授予票證(ticket-granting ticket,TGT)所獲取的服務信息,以及使用用戶的長期密鑰(即密碼)加密的時間戳。
注 在 Windows 2000 Server 或 Windows Server 2003 操作系統上,域控制器充當 KDC,而 Active Directory 宿主安全帳戶數據庫。
身份驗證服務發送加密的 TGT 和會話密鑰。KDC 為來自 Active Directory 的用戶獲取長期密鑰(即密碼),然後解密隨請求一起傳送的時間戳。如果該時間戳有效,則用戶是真正的用戶。KDC 身份驗證服務創建一個登錄會話密鑰,並使用用戶的長期密鑰對該副本進行加密。然後,該身份驗證服務創建一個 TGT,它包括用戶信息和登錄會話密鑰。最後,該身份驗證服務使用自己的密鑰加密 TGT,並將加密的會話密鑰和加密的 TGT 傳遞給客戶端。
客戶端從 TGT 請求服務器訪問。客戶端使用其長期密鑰(即密碼)解密登錄會話密鑰,並在本地緩存 它。此外,客戶端還將加密的 TGT 存儲在它的緩存中。訪問網絡服務時,客戶端向 KDC 票證授予服務(ticket-granting service,TGS)發送一個包含信息的請求,這些信息包括用戶名、使用用戶登錄會話密鑰加密的驗證者消息、TGT,以及用戶想訪問的服務(和服務 器)名稱。
TGS 發送加密的會話密鑰和票證。KDC 上的 TGS 使用自己的密鑰解密 KDC 並提取登錄會話密鑰。它使用該登錄會話密鑰解密驗證者消息(通常是時間戳)。如果驗證者消息成功解密,TGS 從 TGT 提取用戶信息,並使用用戶信息創建一個用於訪問該服務的服務會話密鑰。它使用該用戶的登錄會話密鑰對該服務會話密鑰的一個副本進行加密,創建一個具有服務 會話密鑰和用戶信息的服務票證,然後使用該服務的長期密鑰(密碼)對該服務票證進行加密。然後,TGS 將加密的服務會話密鑰和服務票證添加到客戶端。
客戶端發送服務票證。客戶端訪問服務時,向服務器發送一個請求。該請求包含驗證者消息(時間戳),該消息使用服務會話密鑰和服務票證 進行加密。
服務器發送加密的時間戳以進行客戶端驗證。服務器解密服務票證並提取服務會話密鑰。通過使用服務會話密鑰,服務器解密驗證者消息(時 間戳)並計算它。如果驗證者通過測試,則服務器使用服務會話密鑰對驗證者(時間戳)進行加密,然後將驗證者傳回到客戶端。客戶端解密時間戳,如果該時間戳 與原始時間戳相同,則該服務是真正的,客戶端繼續連接。
服務的主要名稱
Kerberos v5 身份驗證協議之所以使用服務的主要名稱 (SPN),原因如下:
支持相互身份驗證。
允許一個客戶端請求票證,進而允許該客戶端與特定服務通訊。
例如,如果某個客戶端需要獲得一個票證,並對在偵聽端口 4766 運行的計算機 (MyServer) 上的特定服務 (MyService) 進行身份驗證,則該客戶端使用根據該信息構造的名稱從 KDC 請求一個票證,如下所示:
MyService/MyServer:4766
在 Active Directory 中注冊的 SPN 在該名稱和運行所請求的服務的域帳戶之間維護一個映射。通過使用該機制,惡意用戶難以在網絡上模擬服務。惡意用戶必須禁用實際服務並從該網絡移除實際服務 器。然後,惡意用戶必須向網絡中添加一台同名的新計算機並公開重復的服務。由於客戶端使用具有相互身份驗證的 Kerberos v5 協議,因此該客戶端將無法使用重復的服務,除非它可以提供配置實際服務進行運行的域帳戶的密碼。
ASP.NET 身份驗證IIS 向 ASP.NET 傳遞代表經過身份驗證的用戶或匿名用戶帳戶的令牌。該令牌在一個包含在 IPrincipal 對象中的 IIdentity 對象中維護,IPrincipal 對象進而附加到當前 Web 請求線程。可以通過 HttpContext.User 屬性訪問 IPrincipal 和 IIdentity 對象。這些對象和該屬性由身份驗證模塊設置,這些模塊作為 HTTP 模塊實現並作為 ASP.NET 管道的一個標准部分進行調用,如圖 3 所示。
ASP.NET 管道模型包含一個 HttpApplication 對象、多個 HTTP 模塊對象,以及一個 HTTP 處理程序對象及其相關的工廠對象。HttpRuntime 對象用於處理序列的開頭。在整個請求生命周期中,HttpContext 對象用於傳遞有關請求和響應的詳細信息。
有關 ASP.NET 請求生命周期的詳細信息,請參閱"ASP.NET Life Cycle",網址是 http://msdn2.microsoft.com/library/ms227435(en-US,VS.80).aspx。
身份驗證模塊
ASP.NET 2.0 在計算機級別的 Web.config 文件中定義一組 HTTP 模塊。其中包括大量身份驗證模塊,如下所示:
<httpModules> <add name="WindowsAuthentication" type="System.Web.Security.WindowsAuthenticationModule" /> <add name="FormsAuthentication" type="System.Web.Security.FormsAuthenticationModul e" /> <add name="PassportAuthentication" type="System.Web.Security.PassportAuthenticationMo dule" /> </httpModules>
只加載一個身份驗證模塊,這取決於該配置文件的 authentication 元素中指定了哪種身份驗證模式。該身份驗證模塊創建一個 IPrincipal 對象並將它存儲在 HttpContext.User 屬性中。這是很關鍵的,因為其他授權模塊使用該 IPrincipal 對象作出授權決定。
當 IIS 中啟用匿名訪問且 authentication 元素的 mode 屬性設置為 none 時,有一個特殊模塊將默認的匿名原則添加到 HttpContext.User 屬性中。因此,在進行身份驗證之後,HttpContext.User 絕不是一個空引用(在 Visual Basic 中為 Nothing)。
WindowsAuthenticationModule
如果 Web.config 文件包含以下元素,則激活 WindowsAuthenticationModule 類。
<authentication mode="Windows" />
WindowsAuthenticationModule 類負責創建 WindowsPrincipal 和 WindowsIdentity 對象來表示經過身份驗證的用戶,並且負責將這些對象附加到當前 Web 請求。
對於 Windows 身份驗證,遵循以下步驟:
WindowsAuthenticationModule 使用從 IIS 傳遞到 ASP.NET 的 Windows 訪問令牌創建一個 WindowsPrincipal 對象。該令牌包裝在 HttpContext 類的 WorkerRequest 屬性中。引發 AuthenticateRequest 事件時,WindowsAuthenticationModule 從 HttpContext 類檢索該令牌並創建 WindowsPrincipal 對象。HttpContext.User 用該 WindowsPrincipal 對象進行設置,它表示所有經過身份驗證的模塊和 ASP.NET 頁的經過身份驗證的用戶的安全上下文。
WindowsAuthenticationModule 類使用 P/Invoke 調用 Win32 函數並獲得該用戶所屬的 Windows 組的列表。這些組用於填充 WindowsPrincipal 角色列表。
WindowsAuthenticationModule 類將 WindowsPrincipal 對象存儲在 HttpContext.User 屬性中。隨後,授權模塊用它對經過身份驗證的用戶授權。
注: DefaultAuthenticationModule 類(也是 ASP.NET 管道的一部分)將 Thread.CurrentPrincipal 屬性設置為與 HttpContext.User 屬性相同的值。它在處理 AuthenticateRequest 事件之後進行此操作。
授權模塊
WindowsAuthenticationModule 類完成其處理之後,如果未拒絕請求,則調用授權模塊。授權模塊也在計算機級別的 Web.config 文件中的 httpModules 元素中定義,如下所示:
<httpModules> <add name="UrlAuthorization" type="System.Web.Security.UrlAuthorizationModule" /> <add name="FileAuthorization" type="System.Web.Security.FileAuthorizationModule" /> <add name="AnonymousIdentification" type="System.Web.Security.AnonymousIdentificationModule" /> </httpModules>
UrlAuthorizationModule
調用 UrlAuthorizationModule 類時,它在計算機級別或應用程序特定的 Web.config 文件中查找 authorization 元素。如果存在該元素,則 UrlAuthorizationModule 類從 HttpContext.User 屬性檢索 IPrincipal 對象,然後使用指定的動詞(GET、POST 等)來確定是否授權該用戶訪問請求的資源。
FileAuthorizationModule
接下來,調用 FileAuthorizationModule 類。它檢查 HttpContext.User.Identity 屬性中的 IIdentity 對象是否是 WindowsIdentity 類的一個實例。如果 IIdentity 對象不是 WindowsIdentity 類的一個實例,則 FileAuthorizationModule 類停止處理。
如果存在 WindowsIdentity 類的一個實例,則 FileAuthorizationModule 類調用 AccessCheck Win32 函數(通過 P/Invoke)來確定是否授權經過身份驗證的客戶端訪問請求的文件。如果該文件的安全描述符的隨機訪問控制列表 (DACL) 中至少包含一個 Read 訪問控制項 (ACE),則允許該請求繼續。否則,FileAuthorizationModule 類調用 HttpApplication.CompleteRequest 方法並將狀態碼 401 返回到客戶端。
.NET Framework 使用以下兩個接口封裝 Windows 令牌和登錄會話:
System.Security.Principal.IPrincipal
System.Security.Principal.IIdentity(它公開為 IPrincipal 接口中的一個屬性。)
HttpContext.User
在 ASP.NET 中,用 WindowsPrincipal 和 WindowsIdentity 類表示使用 Windows 身份驗證進行身份驗證的用戶的安全上下文。使用 Windows 身份驗證的 ASP.NET 應用程序可以通過 HttpContext.User 屬性訪問 WindowsPrincipal 類。
要檢索啟動當前請求的 Windows 經過身份驗證的用戶的安全上下文,使用以下代碼:
using System.Security.Principal; ... // Obtain the authenticated user's Identity WindowsPrincipal winPrincipal = (WindowsPrincipal)HttpContext.Current.User;
WindowsIdentity.GetCurrent
WindowsIdentity.GetCurrent 方法可用於獲得當前運行的 Win32 線程的安全上下文的標識。如果不使用模擬,線程繼承 IIS 6.0(默認情況下的 NetworkService 帳戶)上進程的安全上下文。
該安全上下文在訪問本地資源時使用。通過使用經過身份驗證的初始用戶的安全上下文或使用固定標識,您可以使用模擬重寫該安全上下文。
要檢索運行應用程序的安全上下文,使用以下代碼:
using System.Security.Principal; ... // Obtain the authenticated user's identity. WindowsIdentity winId = WindowsIdentity.GetCurrent(); WindowsPrincipal winPrincipal = new WindowsPrincipal(winId);
Thread.CurrentPrincipal
ASP.NET 應用程序中的每個線程公開一個 CurrentPrincipal 對象,該對象保存經過身份驗證的初始用戶的安全上下文。該安全上下文可用於基於角色的授權。
要檢索線程的當前原則,使用以下代碼:
using System.Security.Principal; ... // Obtain the authenticated user's identity WindowsPrincipal winPrincipal = (WindowsPrincipal) Thread.CurrentPrincipal();
表 1 顯示從各種標識屬性獲得的結果標識,當您的應用程序使用 Windows 身份驗證且 IIS 配置為使用集成 Windows 身份驗證時,可以從 ASP.NET 應用程序使用這些標識屬性。
表 1:線程公開的 CurrentPrincipal Object
Web.config 設置
變量位置
結果標識
<identity impersonate="true"/>
<authentication mode="Windows" />
HttpContext
WindowsIdentity
線程
Domain\UserName
Domain\UserName
Domain\UserName
<identity impersonate="false"/>
<authentication mode="Windows" />
HttpContext
WindowsIdentity
線程
Domain\UserName
NT AUTHORITY\NETWORK SERVICE
Domain\UserName
<identity impersonate="true"/>
<authentication mode="Forms" />
HttpContext
WindowsIdentity
線程
用戶提供的名稱
Domain\UserName
用戶提供的名稱
<identity impersonate="false"/>
<authentication mode="Forms" />
HttpContext
WindowsIdentity
線程
用戶提供的名稱
NT AUTHORITY\NETWORK SERVICE
用戶提供的名稱
返 回頁首
ASP.NET 應用程序可以使用模擬來執行操作,使用經過身份驗證的客戶端或特定 Windows 帳戶的安全上下文來訪問資源。
初始用戶模擬
要模擬初始(經過身份驗證的)用戶,請在 Web.config 文件中使用以下配置:
<authentication mode="Windows" /> <identity impersonate="true" />
使用該配置,ASP.NET 始終模擬經過身份驗證的用戶,且所有資源訪問均使用經過身份驗證的用戶的安全上下文執行。如果您的應用程序的虛擬目錄上啟用了匿名訪問,則模擬 IUSR_MACHINENAME 帳戶。
要暫時模擬經過身份驗證的調用方,將 identity 元素的 impersonate 屬性設置為 false, 然後使用以下代碼:
using System.Security.Principal; ... // Obtain the authenticated user's identity. WindowsIdentity winId = (WindowsIdentity)HttpContext.Current.User.Identity; WindowsImpersonationContext ctx = null; try { // Start impersonating. ctx = winId.Impersonate(); // Now impersonating. // Access resources using the identity of the authenticated user. } // Prevent exceptions from propagating. catch { } finally { // Revert impersonation. if (ctx != null) ctx.Undo(); } // Back to running under the default ASP.NET process identity.
這段代碼模擬經過身份驗證的初始用戶。在 HttpContext.Current.User.Identity 對象中維護初始用戶的標識和 Windows 令牌。
固定標識模擬
如果需要在應用程序的整個生命周期中模擬相同的標識,可以在 Web.config 文件中的 identity 元素上指定憑據。以下示例顯示如何模擬名為"TestUser"的 Windows 帳戶。
如果使用該方法,應該對這些憑據進行加密。使用 ASP.NET 2.0,您可以使用 ASP.NET IIS 注冊工具 (Aspnet_regiis.exe)。使用 ASP.NET 1.1 版,您可以使用 Aspnet_setreg.exe 實用工具。有關該實用工具的詳細信息,請參閱 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cptools/html/cpgrfaspnetiisregistrati
要在 ASP.NET 應用程序中使用固定標識進行資源訪問,可使用 Windows 2000 Server 或 Windows Server 2003 上的 identity 元素來配置憑據。如果正在運行 Windows Server 2003,其中的 IIS 6.0 配置為運行在輔助進程隔離模式下(默認情況),則可通過將 ASP.NET 應用程序配置為在自定義應用程序池(在特定的域標識下運行)中運行來避免模擬。然後,可以使用指定的域標識訪問資源而無需使用模擬。
返 回頁首
模擬只提供對本地資源的訪問。委托是一個擴展的模擬功能,它允許您使用模擬令牌訪問網絡資源。
如果應用程序使用 Kerberos v5 身份驗證對其用戶進行身份驗證,則可使用 Kerberos 委托在應用程序的各層傳遞用戶標識並訪問網絡資源。如果應用程序不使用 Kerberos v5 身份驗證,則可使用協議轉換切換到 Kerberos,然後使用委托傳遞該標識。
Windows Server 2003 中的約束委托需要 Kerberos 身份驗證。如果您的應用程序無法使用 Kerberos 身份驗證對其調用方進行身份驗證,您可以使用協議轉換從可選的非 Windows 身份驗證模式(如,窗體或證書身份驗證)切換到 Kerberos 身份驗證。然後,可使用具有約束委托的 Kerberos 訪問下游網絡資源。
約束的和未約束的委托
Windows 2000 Server 上的 Kerberos 委托是未約束的。Active Directory 中配置了委托的服務器可在使用模擬的用戶安全上下文的同時訪問任何網絡資源或網絡上的任何計算機。這會帶來潛在的安全威脅,尤其是 Web 服務器遭受惡意用戶攻擊時。
為了解決該安全問題,Windows Server 2003 引入了約束的委托。這使管理員能夠在使用模擬的用戶安全上下文時准確 指定另一個服務器或域帳戶可以訪問的服務。
配置委托
要使用 Kerberos 委托,需要適當的 Active Directory 配置。
要授予 Web 服務器委托客戶端憑據的權限,請按以下方式配置 Active Directory:
如果在 NetworkService 帳戶下運行應用程序,Web 服務器計算機帳戶必須在 Active Directory 中標記為受信任委托。
如果在自定義域帳戶下運行應用程序,該用戶帳戶必須在 Active Directory 中標記為受信任委托。
如果應用程序模擬一個用戶帳戶,請確保應用程序模擬的用戶帳戶在 Active Directory 中未標記為"敏感帳戶,不能被委托"。
有關協議轉換和約束委托的詳細信息,請參閱 How To: Use Protocol Transition and Constrained Delegation in ASP.NET 2.0。
