Articles of authentication

LogonUser可能太慢 – 只能在本地validation用户身份,或者减less中央validation超时

我无法findauthentication用户的快速方法。 当到域控制器的连接速度慢或不可用时, LogonUser会花费几秒钟的时间返回。 我正在使用LOGON32_LOGON_NETWORK作为logintypes,我已经读了它的速度更快 ,但是这个函数在这种情况下仍然需要几秒钟才能返回。 我假设这是服务器超时,然后诉诸caching的凭据。 由于我不想/需要域validation: 有什么办法来减less使用caching凭据之前的超时? 有没有什么办法只在本地进行身份validation(根本不需要与域控制器进行检查)? 还有其他的方式来validationlogin用户更快?

CreateProcessAsUser和LogonUser无密码

使用WTSGetActiveConsoleSessionId和WTSQueryUserToken,我知道一个以SYSTEM身份运行的服务可以在不使用密码的情况下将应用程序启动到当前桌面上 。 是启动CreateProcessAsUser而不需要LogonUser的密码,只要启动程序的程序具有足够的权限? 编辑1 :情况与此实例有点类似,但我需要能够以用户的身份启动一个进程,而不pipe他们是否login到系统。

使用LogonUser()仅用于validation凭证

我们正在开发一个内部用户帐户系统的应用程序,但希望能够使用来自Active Directory和/或Windows帐户的凭据。 为此,我们将用户SID存储在应用程序用户表中的一个字段中。 我们的login机制是这样的function: 提示用户input域名,login名,密码 调用LogonUser(login,域,密码,logon_type,logon_provider和hToken) 如果成功,从hToken获取用户SID closureshToken search我们的应用程序的数据库为给定的SID的用户; 如果find,我们被视为login到该帐户。 已经出现的问题是:我们一直在使用LOGON32_LOGON_NETWORK作为logon_type,但现在我们遇到了一些安全configuration,其中“从networking访问这台计算机”被拒绝,这意味着networkinglogintypes是被禁止的。 我的问题是什么logintypes应该用于这种情况? 互动? 除了提取用户的SID之外,我们实际上并不使用login标记。 我们的应用程序有自己的内部组和权限; 我们不以任何方式使用Windows组或权限。 从Windows和域控制器的angular度来看,我们所做的只是login并快速注销。 还是我们以完全错误的方式来看待这个问题,我们应该完全使用其他一些login方法? 谢谢

Web App模拟远程服务器:LogonUser或LsaLogonUser?

我有一个C#Web应用程序(在某些configuration中)允许用户inputWindows凭据,然后用它来validation远程服务。 为了达到这个目的,我们现在调用LogonUser并使用结果标记来创build一个WindowsIdentity,然后我们模拟它。 这工作正常,没有真正的问题。 最近我正在阅读有关Web身份validation的内容,并且读到了基本身份validation,IIS使用LsaLogonUser来创build模拟上下文。 我有点理解两者之间的差异,这听起来像我们应该使用LsaLogonUser,但我讨厌做出改变,我不明白的不明确的好处。 另一方面,从事IIS工作的人比我更了解Windows API。 那么:哪个函数更适合Web应用程序? 你会说使用LogonUser是错误的,为什么? 有没有情况下(networkingconfiguration,用户权限等),一个将工作,另一个不会? 使用LogonUser有没有什么安全风险?

WSMan和基本授权

我试图让WSMan使用Basic授权。 我总是得到访问被拒绝的错误。 Kerberosauthentication工作正常。 Windows远程pipe理服务在域A中的Windows Server 2008 R2上运行,并具有以下configuration: configuration MaxEnvelopeSizekb = 800 MaxTimeoutms = 600000 MaxBatchItems = 20 MaxProviderRequests = 4294967295 客户 NetworkDelayms = 5000 URLPrefix = wsman AllowUnencrypted = false validation 基本=真 Digest = true Kerberos = true Negotiate = true Certificate = true CredSSP = false DefaultPorts HTTP = 5985 HTTPS = 5986 TrustedHosts […]

如何在scala play web应用程序中执行集成Windows身份validation(IWA)

我已经努力熟悉Windows的不同身份validation协议(NTLM v1,NTLM v2,Keberos,LDAP ..),并且基于这种理解,我相信NTLM(v1 / 2)应该是目标实现。 我有一个在Scala Play开发的简单的Web应用程序,我希望它具有基于用户的AD证书(手动或通过现有的工作站会话)的loginfunction。 这就是说,我正在努力争取它的工作。 我发现网上的一些图书馆大多文献logging不完善,而其他的只有商业图书馆。 一个简单的例子或资源,如何得到它的工作将大有裨益。

如何以pipe理员身份在Guest帐户中运行C#应用程序

我没有得到正确的答案,并得到了很多像我以前的问题“我们不能这样做”的答案。 这就是为什么我决定详细解释我的问题,请帮助我,如果你可以或请问你的朋友谁可以回答这个问题。 现在我的问题: 步骤1: 我创build了一个编辑各种Windowsregistry的C#程序。 为了编辑Windowsregistry,我们必须拥有pipe理员权限。 我的程序在pipe理员模式下运行正常,没有任何问题。 第2步: 我希望我的程序也能进入有限的用户模式。 如果很less有人没有得到我在这里说的是,我想运行我的上面的C#代码到访客模式。 在访客模式下有一个限制,我们无法更改Windowsregistry。 所以当我执行我的应用程序时,我得到一个要求pipe理员密码的通知。 插入pipe理员密码后,我的应用程序工作正常。 第3步: 我希望我的应用程序不能每次都在访客/受限帐户中询问pipe理员密码。 我也希望在访客模式下我的应用程序应该工作。 我也希望在访客模式下,我的应用程序应该能够访问和更改Windowsregistry。 步骤4: 很多人回答说,我们不能在访客模式下这样做,因为Windows为了安全目的限制用户编辑Windowsregistry。 所以,如果你也觉得这样,那么请不要回复这个问题。 我正在回答那些进入Guest模式的所有好的杀毒软件都可以访问Windowsregistry。 第5步: 由于我知道pipe理员密码,所以有什么方法可以在我们的C#代码中保存pipe理员密码,并绕过一次又一次询问pipe理员密码的popup消息。 有什么方法可以让我们指示Windows,我们的应用程序将以pipe理员模式运行,并且不要一次又一次地要求pipe理员密码 如何在访客模式下运行的防病毒应用程序执行所有操作,如从System32文件夹中删除病毒,并在病毒攻击后重置registry。 这些防病毒应用程序从来没有要求“我们在System32文件夹中发现病毒,由于我在访客模式下运行,无法删除病毒,所以请inputpipe理员密码,以便我可以删除病毒” 我希望你能明白我的意思吗? 我想开发一个应该以任何模式运行的C#应用​​程序(Admin / Guest / Limited),并且应该能够创build,编辑和删除Windowsregistry。 注意:请不要用“右键单击并以pipe理员身份运行”回答。

无法使用java.net.URLConnection在一个会话中使用不同的NTLM凭据进行身份validation

当我使用标准Java API(java.net.URLConnection)访问HTTP服务器时,在第一次成功authentication之后,凭证将“caching”,随后对Authenticator.setDefault()的调用将不起作用。 所以,我需要重新启动应用程序才能使用不同的凭据。 当使用基本身份validation时,我不会观察到这种效果。 但是我需要使用NTLM作为我正在访问的服务器,而Jakarta Commons HttpClient也不是替代scheme,因为它不支持NTLMv2(请参阅http://oaklandsoftware.com/papers/ntlm.html ) 使用Wireshark查看数据包,我也注意到在第一次成功的身份validation之前,首先尝试使用当前Windows凭据进行身份validation。 但是在成功的authentication之后,只使用保存的凭证。 有没有办法重置或更改凭证java.net.Authenticator正在使用成功的NTLM身份validation后?

ASP.NET,401 – 未经授权,有效的帐户

这有点复杂 我正在IIS 7.5上运行一个.NET 4.0站点,使用Windows身份validation,并将身份设置为域pipe理员帐户(需要使用pipe理员权限运行脚本)的自定义应用程序池中运行该站点。 我的webconfig如下: <authentication mode="Windows"/> <authorization> <deny users="?"/> </authorization> </system.web> 每当我login到网站,使用IE8(它应该authentication我自动)它要求我的凭据,我提供了一些通用的域用户凭据,我被拒绝,直到它给了我的错误:401 – 未经授权:访问被拒绝由于凭据无效。 但是,如果我提供我的域pipe理员凭据,我被授予访问权限,对我有好处,但对我的用户不利 到底是怎么回事? 人们常见的一些问题是:将NTML设置为默认的身份validation提供程序,而不是骰子。 wwwroot文件夹不共享

使用Windows凭据进行Weblogin

我们的企业networking上有一个内联网站点(SharePoint 3)。 如果我通过Internet Explorer查看它 – 我已经login。如果我使用Firefox查看它,我必须input我的Windows用户名和密码。 我的问题是这样的: 为什么浏览器之间存在这种差异? 微软在IE中有一些专有的插件可以启用这个自动login吗? 我可以在Firefox中实现自动login吗? 非常感谢。