AD, User, Zertifikate

Reply to AD, User, Zertifikate on Fri, 15 May 2009 11:14:12 GMT

hustbaer — Fri, 15 May 2009 11:14:12 GMT

Gibt es mit Active Directory irgendeine Möglichkeit, dass ein signiertes Programm einen bestimmten User-Account "impersonaten" kann, ohne ein Passwort kennen zu müssen?

Also quasi ich mache im AD bestimmte Einstellungen, mache ein Zertifikat, mache das im AD bekannt, signiere dann mein Programm, und der Domain-Controller sagt dann "ja, Programm X ist mit Zertifikat Y signiert, und darf sich daher als User Z ausgeben".

Geht sowas, und wenn ja, wie macht man das?

Reply to AD, User, Zertifikate on Fri, 15 May 2009 11:29:21 GMT

berniebutt — Fri, 15 May 2009 11:29:21 GMT

Ich meine, das geht unkompliziert mit einem hidden Kontrollprozess. Das signierte Programm sendet an diesen Kontrollprozess eine Nachricht mit seiner Signatur. Der Kontrollprozess überprüft die Signatur mit den freigegebenen Usern und sendet eine Nachricht freigegeben oder abgelehnt zurück. Jetzt must Du nur noch über die Signaturen der User nachdenken.

Reply to AD, User, Zertifikate on Fri, 15 May 2009 14:25:28 GMT

hustbaer — Fri, 15 May 2009 14:25:28 GMT

Er.
Und wie komme ich dann an ein User-Token welches ich mit ImpersonateLoggedOnUser() verwenden kann? Verstehe grad nicht ganz was du meinst...

Reply to AD, User, Zertifikate on Wed, 20 May 2009 12:55:28 GMT

berniebutt — Wed, 20 May 2009 12:55:28 GMT

Ich verstehe auch nicht, wieso Dir keiner sonst helfen kann. Was Du brauchst ist ein Server-Programm auf der Domain-Seite, das alle Informationen über die User und deren Zugriffswünsche verwaltet und regelt. Leider habe ich damit noch keine eigenen Erfahrungen. WinSockApi und/oder WinInitApi sollten dafür aber geeignet sein.

Reply to AD, User, Zertifikate on Wed, 20 May 2009 23:45:13 GMT

hustbaer — Wed, 20 May 2009 23:45:13 GMT

Ich denke mit einem Helper-Service + SSPI müsste es gehen.
Blöderweise hab ich von SSPI eher wenig Ahnung