AD, User, Zertifikate
-
Gibt es mit Active Directory irgendeine Möglichkeit, dass ein signiertes Programm einen bestimmten User-Account "impersonaten" kann, ohne ein Passwort kennen zu müssen?
Also quasi ich mache im AD bestimmte Einstellungen, mache ein Zertifikat, mache das im AD bekannt, signiere dann mein Programm, und der Domain-Controller sagt dann "ja, Programm X ist mit Zertifikat Y signiert, und darf sich daher als User Z ausgeben".
Geht sowas, und wenn ja, wie macht man das?
-
Ich meine, das geht unkompliziert mit einem hidden Kontrollprozess. Das signierte Programm sendet an diesen Kontrollprozess eine Nachricht mit seiner Signatur. Der Kontrollprozess überprüft die Signatur mit den freigegebenen Usern und sendet eine Nachricht freigegeben oder abgelehnt zurück. Jetzt must Du nur noch über die Signaturen der User nachdenken.
-
Er.
Und wie komme ich dann an ein User-Token welches ich mit ImpersonateLoggedOnUser() verwenden kann? Verstehe grad nicht ganz was du meinst...
-
Ich verstehe auch nicht, wieso Dir keiner sonst helfen kann. Was Du brauchst ist ein Server-Programm auf der Domain-Seite, das alle Informationen über die User und deren Zugriffswünsche verwaltet und regelt. Leider habe ich damit noch keine eigenen Erfahrungen. WinSockApi und/oder WinInitApi sollten dafür aber geeignet sein.
-
Ich denke mit einem Helper-Service + SSPI müsste es gehen.
Blöderweise hab ich von SSPI eher wenig Ahnung
