如何使用SSPI从Kerberos获取服务令牌
目标:我正在尝试使用SSPI构建Proof Of Concept客户端应用程序以实现单点登录。 我是C#的新手,我很困惑。
到目前为止我所知道和完成的事情:所有用户都是Active Directory域的一部分,因此我知道Kerberos在登录期间用于身份validation。 此时我需要做的就是从Kerberos获取服务令牌,这样我就可以将它传递给服务资源而不是用户名和密码(如果我错了,请纠正我)。 我已经获得了服务原则名称(SPN)和已在Kerberos中注册的服务密码。
我希望不要使用平台调用服务来调用SSPI函数,但如果必须的话,我会这样做。 我通读了“.NET Remoting身份validation和授权示例 – 第一部分”,并使用Microsoft.Samples.Security.SSPI进行测试。 我还尝试使用C#/ .Net接口到Win32 SSPI身份validationAPI 。
到目前为止,我可以获得用户/客户端凭据,构建客户端安全上下文。 但是,如何为给定的SPN请求服务票证?
非常感谢您的帮助和指导。 如果可以,请具体说明,如果您有任何疑问,请告诉我。
您可以使用以下内容通过提供SPN来获取令牌
public String getToken(string userName) { using (var domainContext = new PrincipalContext(ContextType.Domain, "domain")) { using (var foundUser = UserPrincipal.FindByIdentity(domainContext, IdentityType.SamAccountName, userName)) { Console.WriteLine("User Principale name" + UserPrincipal.FindByIdentity(domainContext, IdentityType.SamAccountName, userName).UserPrincipalName); string spn = UserPrincipal.FindByIdentity(domainContext, IdentityType.SamAccountName, userName).UserPrincipalName; KerberosSecurityTokenProvider k1 = new KerberosSecurityTokenProvider(spn, System.Security.Principal.TokenImpersonationLevel.Impersonation, new System.Net.NetworkCredential(userName, "password", "domain")); KerberosRequestorSecurityToken T1 = k1.GetToken(TimeSpan.FromMinutes(1)) as KerberosRequestorSecurityToken; string sret = Convert.ToBase64String(T1.GetRequest()); Console.WriteLine("=====sret========" + sret); return sret; } } } Hasanthi提供的代码完全符合我的需要,我没有必要使用SSPI。 我问错了问题,但我学到了很多关于Kerberos和SSPI的知识。 这是我的代码简而言之:
AppDomain.CurrentDomain.SetPrincipalPolicy(System.Security.Principal.PrincipalPolicy.WindowsPrincipal); var domain = Domain.GetCurrentDomain().ToString(); using (var domainContext = new PrincipalContext(ContextType.Domain, domain)) { string spn = UserPrincipal.FindByIdentity(domainContext, IdentityType.SamAccountName, serviceName).UserPrincipalName; KerberosSecurityTokenProvider tokenProvider = new KerberosSecurityTokenProvider(spn, System.Security.Principal.TokenImpersonationLevel.Impersonation, CredentialCache.DefaultNetworkCredentials); KerberosRequestorSecurityToken securityToken = tokenProvider.GetToken(TimeSpan.FromMinutes(1)) as KerberosRequestorSecurityToken; string serviceToken = Convert.ToBase64String(securityToken.GetRequest()); }