Windows的用户管理中的用户模拟 impersonate
Windows的用户管理中的用户模拟 收藏
用户模拟(Impersonation)是自从Windows 2000时引入的强大的功能。Windows系统甚至允许用户模拟(Impersonation)被用在客户端/服务端的编程模型里面。
在传统模式下,比如一个远程服务器可以提供文件、打印机或者数据库服务,希望使用这些资源的客户端可以发送一个请求给远程服务器,这时候,远程服务器必须要确保客户端有权限来访问它请求的资源,于是远程服务器查询用户的帐号和组信息,然后查询资源的安全描述符来判断资源访问是否被允许。这个过程需要大量的编码,并且非常容易出错,而且也不能自动整合后续版本操作系统带来的新的安全特性。因此Windows 2000起,我们可以使用用户模拟(Impersonation)来简化这个问题—比如IIS里面就使用到了用户模拟(Impersonation)功能。
比如,我们在局域网里面新建了一个网站,局域网用户可以使用这个网站上传自己的图片,编辑自己的文件,并且可以跟自己的好友共享这些图片和文件。网站使用Windows验证方式,这样就省去了局域网用户登录网站的麻烦。就是说如果用户打开IE访问网站的时候,直接就获得了相应的访问权限—这也是SharePoint Server使用的用户身份验证方式。另外在设计的时候,为了得到更大的可扩展性,图片和文件不是保存在数据库里面的,而是直接保存在文件系统(也许是分布式文件系统)里面的。也即是说,当新建了一个用户A的时候,
1. 网站就在域里面新建一个用户A,还创建了一个用户组A’s Friend—用来保存用户A的好友帐号;
2. 并且在保存图片和文件的分布式文件系统里面创建了一个文件夹A,这个文件夹A有读写权限,而A’s Friend只有读的权限,其他用户默认没有任何权限。
当A在浏览器里面上传图片,网站接受图片并且把图片保存到文件夹A里面。这样就为网站的实现提出了一个难题,即网站ASP.NET程序以什么用户身份运行?
n 如果以域管理员帐号运行的话,那么无疑带来了很大的安全方面的风险,因为域管理员帐号在域里面的控制权可以说是无限大的,如果你的网站代码没有考虑到一些网络攻击—很容易就造成整个域瘫痪掉。
n 而如果以其他的帐号运行,又怎么保证网站有权限将用户A上传的图片保存到文件夹A里面去?
这种情形,你就可以使用用户模拟(Impersonation)功能,网站只要运行在最低权限—例如Network Service用户下面,当需要保存用户A上传的图片时,网站所要做的就是获取用户A的登录信息暂时模拟用户A,将图片保存到文件夹A中后,回滚用户模拟(Impersonation)操作,重新让网站运行在最低权限下。这样既做到系统的可扩展性,又做到了将安全风险降到最低的目标。这种权限验证方式省却了重复实现安全子系统的努力,而将用户权限管理集成到Windows域管理系统里面,另外系统的可扩展性也解决了,因为据测试,Windows的Active Directory可以支持上亿用户—好像没有几个局域网能有这么多的用户吧?
远程服务器通过在线程里面要求用户模拟(Impersonation)来模拟一个用户。线程的访问令牌(Access Token)包含了模拟信息(Impersonation Token),并且还包含了线程的真实安全凭据(Security Credential),因此在模拟完一个用户以后,线程还能重新使用自己实际的访问令牌(Access Token) 。
为了避免远程服务器滥用用户模拟(Impersonation)功能,Windows系统允许客户端对用户模拟(Impersonation)进行一系列的限制:
限制类型
说明
SECURITY_ANONYMOUS
最严格的限制—远程服务器不能模拟客户端的用户身份
SECURITY_IDENTIFICATION
允许远程服务器获取客户端用户的安全身份标识符(SID)和用户的权限信息,但是服务器不能模拟用户身份。
SECURITY_IMPERSONATIONN
允许远程服务器在访问本机资源的时候模拟用户身份
SECURITY_DELEGATION
允许远程服务器在访问本机和远程机资源的时候模拟用户身份
如果客户端不进行限制,那么默认远程服务器具有SECURITY_IMPERSONATIONN权限,即可以在访问本机资源的时候模拟用户身份。
用户模拟的代码:
[DllImport("advapi32.dll", SetLastError = true)]
private static extern bool LogonUser(String lpszUsername, String lpszDomain, String lpszPassword, int dwLogonType, int dwLogonProvider, ref IntPtr phToken);
IntPtr tokenHandle = IntPtr.Zero;
bool returnValue = LogonUser(userName, domainName, password.ToString(),
LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT,
ref tokenHandle);
Console.WriteLine("Before impersonation: "
+ WindowsIdentity.GetCurrent().Name);
WindowsIdentity identity = new WindowsIdentity(tokenHandle);
WindowsImpersonationContext impersonatedUser = identity.Impersonate();
Console.WriteLine("After impersonation: "
+ WindowsIdentity.GetCurrent().Name);
impersonatedUser.Undo();
Console.WriteLine("After Undo: " + WindowsIdentity.GetCurrent().Name);
if (tokenHandle != IntPtr.Zero)
CloseHandle(tokenHandle);
本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/Donjuan/archive/2009/02/06/3866799.aspx