Page.User.Identity.Name 。我还使用了几种不同的方法来查询Active Directory以获取有关域用户的信息。所有这些都是为了验证以下内容。
我发现两种主要模式可用于使用Windows身份验证运行您的应用程序,在我的研究中主要用于Intranet环境。以下是配置的最低必要要素:
经典模式
- AppPool- 管道设置为Classic模式。
- AppPool- 标识设置为Network Service。
- 身份验证- 禁用:匿名身份验证
- 身份验证- 启用:ASP.NET模拟
- 身份验证- 启用:Windows身份验证
- 提供者- 禁用:Kerberos
- 高级设置- 内核模式:任一
集成模式
- AppPool - 托管管道设置为集成模式。
- AppPool - 身份设置为 Network Service。
- 身份验证 - 禁用:匿名身份验证
- 身份验证 - 禁用:ASP.NET 模拟
- 身份验证 - 启用:Windows 身份验证
- 提供程序 - 启用:Kerberos
- 高级设置 - 内核模式:禁用
现在关键的问题来了!
如果您想使用集成模式(这是理想的,因为它可以产生更多功能和更好的集成),则需要启用委派。以下是一些必读文章,以了解Delegation的基础知识,以及Dynamic SPN Registration的扩展。由于这涉及到更多的Kerberos和安全考虑,可能更容易坚持经典模式,在那里您只需启用模拟并称之为一天;或者欺骗并禁用validateIntegratedModeConfiguration。
不,但“Integrated”管道需要你手动模拟Windows身份验证用户。至少在IIS8.5中是这样。
为什么?经典模拟会破坏.NET的异步功能。具体来说,在多个用户同时使用一个线程时,很难管理线程的WindowsIdentity。
如何实现?使用WindowsImpersonationContext 例如:
// Start with identity assigned by IIS Application Pool
var current = System.Security.Principal.WindowsIdentity.GetCurrent();
// Enable Windows Authentication in ASP.NET *and* IIS, which ensures
// User.Identity is a WindowsIdentity
WindowsIdentity clientId = (WindowsIdentity)User.Identity;
// When 'using' block ends, the thread reverts back to previous Windows identity,
// because under the hood WindowsImpersonationContext.Undo() is called by Dispose()
using (WindowsImpersonationContext wic = clientId.Impersonate())
{
// WindowsIdentity will have changed to match clientId
current = System.Security.Principal.WindowsIdentity.GetCurrent();
}
// Back to the original identity
current = System.Security.Principal.WindowsIdentity.GetCurrent();
有问题吗?有时候你需要使用委派而不是模拟身份。
User类(例如User.Identity)来自哪里? - Coxy