Mélanger l'authentification des formulaires avec l'authentification Windows

Question

J'ai une application intranet (ASP.NET 3.5) qui a été conçue pour utiliser l'authentification par formulaire (avec le système d'appartenance aspnet par défaut). Je stocke également des informations supplémentaires sur les utilisateurs dans une autre table qui partage sa clé primaire avec la table aspnet_users.

Pour les utilisateurs faisant partie de notre domaine, je stocke leur nom de compte de domaine dans la table secondaire des utilisateurs, et je veux connecter automatiquement les utilisateurs dont le nom de compte de domaine correspond à un nom stocké dans la table.

J'ai lu les guides disponibles - ils datent tous de plus de deux ans et supposent que vous êtes en mesure d'activer l'authentification Windows sur une page de connexion distincte qui vous permet d'extraire le nom de compte de domaine. D'après ce que je peux comprendre, cependant, cela n'est pas possible dans IIS7 (la méthode d'authentification globale est appliquée sur toutes les pages et ne peut pas être désactivée sélectivement, et les deux méthodes d'authentification ne peuvent pas être appliquées sur la même page).

Y a-t-il un moyen de faire en sorte que IIS transmette le nom de compte de domaine Windows de l'utilisateur demandeur ? Je n'ai pas besoin d'une authentification AD correcte, juste du nom de domaine.

Answer 1

En fait, vous pouvez le faire. Un peu tard pour @dr_draik, mais cela est apparu dans un résultat Google pour moi, donc j'ai pensé partager quelques connaissances.

Si vous êtes en mode classique - Activez à la fois l'authentification Windows et Forms. Vous recevrez un avertissement indiquant que vous ne pouvez pas faire les deux en même temps, mais vous pouvez l'ignorer. Ensuite, vous pouvez fouiller autour de différentes propriétés comme Code:

HttpContext.Current.Request.ServerVariables["LOGON_USER"]

et récupérer le nom d'utilisateur à partir de là.

Si vous êtes en mode intégré - 4021905 IIS7 Challenge-based and login redirect-based authentication cannot be used simultaneously mène à IIS 7.0 Two-Level Authentication with Forms Authentication and Windows Authentication qui est un module qui vous permet de changer sélectivement l'authentification pour différentes pages.

Answer 2

Vous pourriez toujours configurer 2 applications distinctes dans IIS7. L'une aurait l'authentification Windows activée. L'autre serait l'application principale avec une authentification par formulaire. Si un utilisateur accédait à l'application d'authentification Windows, la page pourrait récupérer ses informations d'identification et les transmettre à l'application d'authentification par formulaire.

Answer 3

_{(Plus pour la complétude de l'information vraiment)}

J'ai posé cette question à un spécialiste de la sécurité .Net lors d'une conférence il y a quelque temps. Sa réponse a été que c'est techniquement possible, mais qu'il ne l'avait jamais vu faire (et de le prévenir si je le faisais et que ça fonctionnait!).

Il a suggéré que cela pourrait être réalisé en créant votre propre filtre ISAPI et en l'installant dans IIS. Le filtre ISAPI intercepterait les requêtes et ferait essentiellement le travail qu'IIS fait lors de l'utilisation de l'authentification intégrée, mais passerait à l'utilisation de formulaires si cela n'était pas présent. Cela impliquait une logique de challenge/réponse compliquée dans le filtre. C'était pour IIS6 cependant, donc cela pourrait être différent dans IIS7.

Bien que cela soit techniquement possible, je ne recommanderais pas cette méthode car cela semble un peu bidouille, et créer votre propre sécurité n'est jamais vraiment une bonne idée (à moins que vous ne sachiez vraiment ce que vous faites).

Answer 4

Il existe de nombreux articles sur le mélange de l'authentification en définissant la configuration pour utiliser les formulaires tout en autorisant l'accès anonyme à l'application. Deuxièmement, une page d'authentification intégrée devrait être créée avec les paramètres IIS définis pour refuser l'accès anonyme et utiliser l'authentification intégrée. Là, vous verriez le tour de magie en vérifiant la variable "Logon_User" de la collection ServerVariables de la requête. Et finalement, pour que l'authentification intégrée connecte l'utilisateur de manière silencieuse, le nom d'hôte doit être court. Donc, si votre élément d'authentification par formulaire est exposé sur Internet via un FQDN, il devrait y avoir une sorte de redirection vers la page d'hôte court. Je pense qu'il est possible de le réaliser avec juste une application sous IIS avec 2 répertoires virtuels.

Answer 5

J'ai quelque chose que vous pouvez essayer - je ne suis pas sûr que ça fonctionnera.

Dans le passé, nous avons utilisé Request.ServerVariables["LOGON_USER"] mais évidemment pour que cela retourne une valeur non vide, vous devez désactiver l'accès anonyme.

Voir cet article: http://support.microsoft.com/default.aspx/kb/306359

Il suggère de maintenir l'accès anonyme du côté de IIS, et l'authentification Forms, mais de refuser l'utilisateur anonyme comme suit: