Apakah ada cara sederhana untuk meniru identitas pengguna di .NET?
Sejauh ini saya telah menggunakan kelas ini dari proyek kode untuk semua persyaratan peniruan identitas saya.
Apakah ada cara yang lebih baik untuk melakukannya dengan menggunakan .NET Framework?
Saya memiliki set kredensial pengguna, (nama pengguna, sandi, nama domain) yang mewakili identitas yang perlu saya tiru.
Jawaban:
Berikut ini beberapa ikhtisar bagus tentang konsep peniruan identitas .NET.
Pada dasarnya Anda akan memanfaatkan kelas-kelas ini yang di luar kotak dalam kerangka .NET:
Kode seringkali bisa menjadi panjang dan itulah mengapa Anda melihat banyak contoh seperti yang Anda referensikan yang mencoba untuk menyederhanakan proses.
"Peniruan identitas" di ruang .NET umumnya berarti menjalankan kode di bawah akun pengguna tertentu. Ini adalah konsep yang agak terpisah daripada mendapatkan akses ke akun pengguna itu melalui nama pengguna dan kata sandi, meskipun kedua gagasan ini sering kali berpasangan. Saya akan menjelaskan keduanya, dan kemudian menjelaskan cara menggunakan pustaka SimpleImpersonation saya , yang menggunakannya secara internal.
API untuk peniruan identitas disediakan di .NET melalui System.Security.Principalnamespace:
Kode yang lebih baru (.NET 4.6+, .NET Core, dll.) Umumnya harus digunakan WindowsIdentity.RunImpersonated, yang menerima pegangan ke token akun pengguna, dan kemudian Actionatau Func<T>untuk kode yang akan dieksekusi.
WindowsIdentity.RunImpersonated(tokenHandle, () =>
{
// do whatever you want as this user.
});
atau
var result = WindowsIdentity.RunImpersonated(tokenHandle, () =>
{
// do whatever you want as this user.
return result;
});
Kode yang lebih lama menggunakan WindowsIdentity.Impersonatemetode untuk mengambil WindowsImpersonationContextobjek. Objek ini mengimplementasikan IDisposable, jadi umumnya harus dipanggil dari usingblok.
using (WindowsImpersonationContext context = WindowsIdentity.Impersonate(tokenHandle))
{
// do whatever you want as this user.
}
Meskipun API ini masih ada di .NET Framework, umumnya harus dihindari, dan tidak tersedia di .NET Core atau .NET Standard.
API untuk menggunakan nama pengguna dan kata sandi untuk mendapatkan akses ke akun pengguna di Windows adalah LogonUser- yang merupakan API asli Win32. Saat ini tidak ada API .NET bawaan untuk memanggilnya, jadi seseorang harus menggunakan P / Invoke.
[DllImport("advapi32.dll", SetLastError = true, CharSet = CharSet.Unicode)]
internal static extern bool LogonUser(String lpszUsername, String lpszDomain, String lpszPassword, int dwLogonType, int dwLogonProvider, out IntPtr phToken);
Ini adalah definisi panggilan dasar, namun masih banyak lagi yang perlu dipertimbangkan untuk benar-benar menggunakannya dalam produksi:
SecureStringsaat Anda dapat mengambilnya dengan aman melalui penekanan tombol pengguna.Jumlah kode yang harus ditulis untuk menggambarkan semua ini melampaui apa yang seharusnya ada dalam jawaban StackOverflow, IMHO.
Alih-alih menulis semua ini sendiri, pertimbangkan untuk menggunakan perpustakaan SimpleImpersonation saya , yang menggabungkan peniruan identitas dan akses pengguna ke dalam satu API. Ini berfungsi dengan baik di basis kode modern dan lama, dengan API sederhana yang sama:
var credentials = new UserCredentials(domain, username, password);
Impersonation.RunAsUser(credentials, logonType, () =>
{
// do whatever you want as this user.
});
atau
var credentials = new UserCredentials(domain, username, password);
var result = Impersonation.RunAsUser(credentials, logonType, () =>
{
// do whatever you want as this user.
return something;
});
Perhatikan bahwa ini sangat mirip dengan WindowsIdentity.RunImpersonatedAPI, tetapi tidak mengharuskan Anda mengetahui apa pun tentang pegangan token.
Ini adalah API pada versi 3.0.0. Lihat proyek readme untuk lebih jelasnya. Perhatikan juga bahwa versi pustaka sebelumnya menggunakan API dengan IDisposablepola, mirip dengan WindowsIdentity.Impersonate. Versi yang lebih baru jauh lebih aman, dan keduanya masih digunakan secara internal.
Undoselama pembuangan.
Ini mungkin yang Anda inginkan:
using System.Security.Principal;
using(WindowsIdentity.GetCurrent().Impersonate())
{
//your code goes here
}
Tapi saya benar-benar membutuhkan lebih banyak detail untuk membantu Anda. Anda dapat melakukan peniruan identitas dengan file konfigurasi (jika Anda mencoba melakukan ini di situs web), atau melalui dekorator metode (atribut) jika itu adalah layanan WCF, atau melalui ... Anda mendapatkan idenya.
Selain itu, jika kita berbicara tentang meniru klien yang memanggil layanan tertentu (atau aplikasi web), Anda perlu mengonfigurasi klien dengan benar agar meneruskan token yang sesuai.
Terakhir, jika yang benar-benar ingin Anda lakukan adalah Pendelegasian, Anda juga perlu menyiapkan AD dengan benar sehingga pengguna dan mesin dipercaya untuk pendelegasian.
Edit:
Lihat di sini untuk melihat bagaimana meniru pengguna lain, dan untuk dokumentasi lebih lanjut.
Inilah port vb.net saya dari jawaban Matt Johnson. Saya menambahkan enum untuk jenis logon. LOGON32_LOGON_INTERACTIVEadalah nilai enum pertama yang berfungsi untuk sql server. String koneksi saya baru saja dipercaya. Tidak ada nama pengguna / kata sandi dalam string koneksi.
<PermissionSet(SecurityAction.Demand, Name:="FullTrust")> _
Public Class Impersonation
Implements IDisposable
Public Enum LogonTypes
''' <summary>
''' This logon type is intended for users who will be interactively using the computer, such as a user being logged on
''' by a terminal server, remote shell, or similar process.
''' This logon type has the additional expense of caching logon information for disconnected operations;
''' therefore, it is inappropriate for some client/server applications,
''' such as a mail server.
''' </summary>
LOGON32_LOGON_INTERACTIVE = 2
''' <summary>
''' This logon type is intended for high performance servers to authenticate plaintext passwords.
''' The LogonUser function does not cache credentials for this logon type.
''' </summary>
LOGON32_LOGON_NETWORK = 3
''' <summary>
''' This logon type is intended for batch servers, where processes may be executing on behalf of a user without
''' their direct intervention. This type is also for higher performance servers that process many plaintext
''' authentication attempts at a time, such as mail or Web servers.
''' The LogonUser function does not cache credentials for this logon type.
''' </summary>
LOGON32_LOGON_BATCH = 4
''' <summary>
''' Indicates a service-type logon. The account provided must have the service privilege enabled.
''' </summary>
LOGON32_LOGON_SERVICE = 5
''' <summary>
''' This logon type is for GINA DLLs that log on users who will be interactively using the computer.
''' This logon type can generate a unique audit record that shows when the workstation was unlocked.
''' </summary>
LOGON32_LOGON_UNLOCK = 7
''' <summary>
''' This logon type preserves the name and password in the authentication package, which allows the server to make
''' connections to other network servers while impersonating the client. A server can accept plaintext credentials
''' from a client, call LogonUser, verify that the user can access the system across the network, and still
''' communicate with other servers.
''' NOTE: Windows NT: This value is not supported.
''' </summary>
LOGON32_LOGON_NETWORK_CLEARTEXT = 8
''' <summary>
''' This logon type allows the caller to clone its current token and specify new credentials for outbound connections.
''' The new logon session has the same local identifier but uses different credentials for other network connections.
''' NOTE: This logon type is supported only by the LOGON32_PROVIDER_WINNT50 logon provider.
''' NOTE: Windows NT: This value is not supported.
''' </summary>
LOGON32_LOGON_NEW_CREDENTIALS = 9
End Enum
<DllImport("advapi32.dll", SetLastError:=True, CharSet:=CharSet.Unicode)> _
Private Shared Function LogonUser(lpszUsername As [String], lpszDomain As [String], lpszPassword As [String], dwLogonType As Integer, dwLogonProvider As Integer, ByRef phToken As SafeTokenHandle) As Boolean
End Function
Public Sub New(Domain As String, UserName As String, Password As String, Optional LogonType As LogonTypes = LogonTypes.LOGON32_LOGON_INTERACTIVE)
Dim ok = LogonUser(UserName, Domain, Password, LogonType, 0, _SafeTokenHandle)
If Not ok Then
Dim errorCode = Marshal.GetLastWin32Error()
Throw New ApplicationException(String.Format("Could not impersonate the elevated user. LogonUser returned error code {0}.", errorCode))
End If
WindowsImpersonationContext = WindowsIdentity.Impersonate(_SafeTokenHandle.DangerousGetHandle())
End Sub
Private ReadOnly _SafeTokenHandle As New SafeTokenHandle
Private ReadOnly WindowsImpersonationContext As WindowsImpersonationContext
Public Sub Dispose() Implements System.IDisposable.Dispose
Me.WindowsImpersonationContext.Dispose()
Me._SafeTokenHandle.Dispose()
End Sub
Public NotInheritable Class SafeTokenHandle
Inherits SafeHandleZeroOrMinusOneIsInvalid
<DllImport("kernel32.dll")> _
<ReliabilityContract(Consistency.WillNotCorruptState, Cer.Success)> _
<SuppressUnmanagedCodeSecurity()> _
Private Shared Function CloseHandle(handle As IntPtr) As <MarshalAs(UnmanagedType.Bool)> Boolean
End Function
Public Sub New()
MyBase.New(True)
End Sub
Protected Overrides Function ReleaseHandle() As Boolean
Return CloseHandle(handle)
End Function
End Class
End Class
Anda perlu Gunakan dengan Usingpernyataan untuk memuat beberapa kode untuk menjalankan peniruan identitas.
Melihat lebih detail dari jawaban saya sebelumnya saya telah membuat paket nuget nuget
Kode di Github
sampel: Anda dapat menggunakan:
string login = "";
string domain = "";
string password = "";
using (UserImpersonation user = new UserImpersonation(login, domain, password))
{
if (user.ImpersonateValidUser())
{
File.WriteAllText("test.txt", "your text");
Console.WriteLine("File writed");
}
else
{
Console.WriteLine("User not connected");
}
}
Vieuw kode lengkapnya:
using System;
using System.Runtime.InteropServices;
using System.Security.Principal;
/// <summary>
/// Object to change the user authticated
/// </summary>
public class UserImpersonation : IDisposable
{
/// <summary>
/// Logon method (check athetification) from advapi32.dll
/// </summary>
/// <param name="lpszUserName"></param>
/// <param name="lpszDomain"></param>
/// <param name="lpszPassword"></param>
/// <param name="dwLogonType"></param>
/// <param name="dwLogonProvider"></param>
/// <param name="phToken"></param>
/// <returns></returns>
[DllImport("advapi32.dll")]
private static extern bool LogonUser(String lpszUserName,
String lpszDomain,
String lpszPassword,
int dwLogonType,
int dwLogonProvider,
ref IntPtr phToken);
/// <summary>
/// Close
/// </summary>
/// <param name="handle"></param>
/// <returns></returns>
[DllImport("kernel32.dll", CharSet = CharSet.Auto)]
public static extern bool CloseHandle(IntPtr handle);
private WindowsImpersonationContext _windowsImpersonationContext;
private IntPtr _tokenHandle;
private string _userName;
private string _domain;
private string _passWord;
const int LOGON32_PROVIDER_DEFAULT = 0;
const int LOGON32_LOGON_INTERACTIVE = 2;
/// <summary>
/// Initialize a UserImpersonation
/// </summary>
/// <param name="userName"></param>
/// <param name="domain"></param>
/// <param name="passWord"></param>
public UserImpersonation(string userName, string domain, string passWord)
{
_userName = userName;
_domain = domain;
_passWord = passWord;
}
/// <summary>
/// Valiate the user inforamtion
/// </summary>
/// <returns></returns>
public bool ImpersonateValidUser()
{
bool returnValue = LogonUser(_userName, _domain, _passWord,
LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT,
ref _tokenHandle);
if (false == returnValue)
{
return false;
}
WindowsIdentity newId = new WindowsIdentity(_tokenHandle);
_windowsImpersonationContext = newId.Impersonate();
return true;
}
#region IDisposable Members
/// <summary>
/// Dispose the UserImpersonation connection
/// </summary>
public void Dispose()
{
if (_windowsImpersonationContext != null)
_windowsImpersonationContext.Undo();
if (_tokenHandle != IntPtr.Zero)
CloseHandle(_tokenHandle);
}
#endregion
}
Saya sadar bahwa saya cukup terlambat untuk pesta, tetapi saya menganggap bahwa perpustakaan dari Phillip Allan-Harding , itu yang terbaik untuk kasus ini dan yang serupa.
Anda hanya membutuhkan sebagian kecil kode seperti ini:
private const string LOGIN = "mamy";
private const string DOMAIN = "mongo";
private const string PASSWORD = "HelloMongo2017";
private void DBConnection()
{
using (Impersonator user = new Impersonator(LOGIN, DOMAIN, PASSWORD, LogonType.LOGON32_LOGON_NEW_CREDENTIALS, LogonProvider.LOGON32_PROVIDER_WINNT50))
{
}
}
Dan tambahkan kelasnya:
.NET (C #) Peniruan Identitas dengan Kredensial Jaringan
Contoh saya dapat digunakan jika Anda memerlukan logon yang ditiru untuk memiliki kredensial jaringan, tetapi memiliki lebih banyak opsi.
Anda bisa menggunakan solusi ini. (Gunakan paket nuget) Kode sumber tersedia di: Github: https://github.com/michelcedric/UserImpersonation
Lebih detail https://michelcedric.wordpress.com/2015/09/03/usurpation-didentite-dun-user-c-user-impersonation/