Приложение ASP.NET для проверки подлинности в Active Directory или SQL через проверку подлинности Windows или формы
Я нахожусь в процессе написания приложения, которое будет нуждаться в нескольких формах аутентификации.
Приложению необходимо будет поддерживать аутентификацию в Active Directory, но иметь возможность вернуться к поставщику членства SQL, если пользователь не находится в Active Directory. Мы можем обработать сбой поставщика SQL в коде на основе предоставленного имени пользователя, поскольку имя пользователя будет отличаться от имени пользователя Active Directory.
Это вообще возможно? Я имею в виду, могу ли я использовать членство и использовать оба ActiveDirectoryMembership Provider и SqlMembershipProvider вместе или мне придется свернуть свое собственное?
Еще одна дополнительная сложность заключается в том, что я хотел бы автоматически проверять подлинность своих внутренних пользователей на основе проверки подлинности Windows в AD, но использовать проверку подлинности с помощью форм для пользователей, не входящих в нашу внутреннюю сеть, или пользователей, использующих поставщик SQL.
Скорее всего, это будут отдельные серверы, один внутренний, а другой внешний, поэтому я планирую многое сделать, чтобы выяснить репликацию данных и как я буду аутентифицировать пользователей AD, если они попадут на внешний сервер и т. Д.
Мне интересно, какие мысли существуют, когда я начинаю идти по этому пути. Возможно ли то, что я хочу сделать, даже если я не сверну свое собственное, или есть способ объединить их воедино?
Спасибо за ответ.
Первоначально я спросил, потому что я смог заставить этого конкретного senerio работать около 7 лет назад, используя IIS для аутентификации, а затем передать обратно учетные данные в Lotus Domino Server Web App. Если пользователь не прошел аутентификацию через Windows Authentication/ISS, Domino будет обрабатывать аутентификацию. Это было то, что я хотел сделать здесь, но действительно не мог придумать, как заставить это работать в IIS.
Что касается остальной части вашего ответа, я думаю, вы идете по пути, который мне нужно будет выбрать. Я продумал это и бросил в голову. В любом случае приложение будет несколько отличаться на двух серверах, так как в любом случае доступ к данным на внешнем сервере будет ограничен. Тот факт, что многое уже будет другим, я могу рассматривать как два приложения, тем самым сводя на нет необходимость использовать два типа аутентификации в одном приложении.
Я уже играю с идеей написать свое собственное окно аутентификации / входа для внешнего сервера, и если пользователь попытается войти со своими учетными данными AD на внешнем сервере, я смогу обнаружить это и перенаправить их на внутренний сервер. сервер. Если они не находятся в локальной сети или в сети VPN, они просто не получат доступ. В этой части еще есть мыслительный процесс, поэтому я не уверен.
В качестве дополнительной мысли - есть ли способ добавить достаточно базы данных AD в базу данных SQL, чтобы позволить мне аутентифицировать пользователей в базе данных SQL с внешнего сервера, используя их учетные данные AD, без создания каких-либо проблем безопасности? Я надеюсь, что я четко набираю то, что я думаю....
Еще раз спасибо!
Тим
3 ответа
Вот как я справился с подобной ситуацией, основываясь на этой информации:
- Настроил приложение для использования проверки подлинности с помощью форм.
- Установите LoginUrl на страницу с именем WinLogin.aspx.
- В WinLogin.aspx используйте Request.ServerVariables["LOGON_USER"], чтобы получить имя пользователя, затем вызовите FormsAuthentication.RedirectFromLoginPage( authorizedUserName, false), чтобы войти в систему. Я полагаю, что вы также можете вручную проверить Active Directory в этом месте.
- Создать HTML-страницу, которая перенаправляет на страницу с именем Login.aspx
- Login.aspx - это ваше стандартное имя пользователя / пароль для входа.
- В IIS включите встроенную аутентификацию и анонимность на всем сайте, но запретите анонимный доступ к WinLogin.aspx.
- В IIS установите ошибки 401 для страницы, созданной на шаге 3.
В основном происходит то, что когда пользователь, не прошедший проверку, попадает на сайт, он перенаправляется на WinLogin.aspx. Поскольку анонимность отключена, встроенная система безопасности выполняет проверку. Если это пройдет, ваш пользовательский код в WinLogin может работать. В случае сбоя встроенной проверки безопасности возникает ошибка 401. Ваша пользовательская страница 401 перенаправляет на Login.aspx, где пользователь может войти в систему, используя свое имя пользователя и пароль с поставщиком SQL.
Насколько я знаю, веб-приложения настроены для использования либо проверки подлинности Windows, либо проверки подлинности с помощью форм, но не обеих. Поэтому я не верю, что можно автоматически аутентифицировать внутренних пользователей, требуя, чтобы другие вводили имя пользователя / пароль.
Вы можете проходить проверку подлинности в Active Directory или хранилище пользователей SQL через проверку подлинности с помощью форм с помощью настраиваемого поставщика. Тем не менее, пользователям AD все равно нужно будет ввести свое имя пользователя и пароль. Хотя я никогда не совмещал эти два метода, я использовал проверку подлинности с помощью форм для проверки подлинности в обоих источниках одновременно.
С учетом сказанного, я думаю, что вы, возможно, захотите рассмотреть вопрос о снижении "гибкости" вашей системы. Если у вас есть внешний сервер и внутренний сервер, вы можете просто изменить конфигурацию провайдера в каждой копии приложения, чтобы перейти к другому источнику. Затем вы можете настроить внутренний для использования проверки подлинности Windows (автоматическая) и внешний для использования проверки подлинности с помощью форм.
ИМХО, я считаю, что внутренние пользователи не должны использовать внешний сервер для доступа к приложению. Если они есть, у них должна быть учетная запись пользователя, сохраненная в SQL, полностью отделенная от их учетной записи AD. По сути, когда кто-то обращается к приложению извне, он действует как внешний пользователь, независимо от его физического местоположения.
Что ж, можно использовать ActiveDirectoryMembershipProvider и SqlMembershipProvider, но для этого необходимо создать свой журнал на странице с собственным кодом, а не элементами управления Login.
О смешанной аутентификации (Windows и Forms), насколько мне известно, только IIS 7 делает ее простой и понятной. Смотрите этот пост для деталей,