如何支持NTLM身份validation与ASP.NET MVC中的回退forms?
如何在ASP.NET MVC应用程序中实现以下内容:
- 用户打开内联网网站
- 如果可能,用户将进行静默身份validation
- 如果NTLM身份validation没有成功,请向用户显示登录表单
- 用户指示登录密码,并从预定义域列表中选择域
- user使用AD在代码中进行身份validation
我知道如何实现4和5,但无法找到有关如何组合NTLM和表单的信息。 因此,永远不会显示NTLM本机登录/密码对话框 – 透明身份validation或外观漂亮的登录页面。
该怎么办? 是否应该询问用户登录名和密码? 可以使用她当前的凭据(域用户名)而无需输入登录名和密码吗?
更新这些,调查相同的问题:
当我问这个时,我并不完全理解NTLM身份validation如何在内部工作。 这里需要了解的重要一点是,如果用户的浏览器不能正确支持NTLM,或者用户禁用了NTLM支持,那么服务器永远不会有机会解决这个问题。
Windows身份validation的工作原理:
- 客户端向服务器发送常规HTTP请求
- 服务器响应HTTP状态401并指示必须使用NTLM身份validation来访问资源
- 客户端发送NTLM Type1消息
- 服务器使用质询响应NTLM Type2消息
- 客户端发送Type3消息以响应challenge
- 服务器响应请求的实际内容
如您所见,不支持NTLM的浏览器不会转到步骤(3),而是会向用户显示IIS生成的错误401页面。
如果用户没有凭据,则在取消NTLM身份validation后,弹出对话框窗口浏览器也不会继续(3)。
因此,我们没有机会自动将用户重定向到自定义登录页面。
这里唯一的选择是有一个“网关”页面,我们决定用户是否应该支持NTLM,如果是,请重定向到受NTLM保护的主页。
如果没有,请显示登录表单并通过手动输入登录名和密码进行身份validation。
通常通过匹配IP范围或通过检查预定义IP表来基于用户的IP地址和/或主机名做出决定。
本文可能会让您指出正确的方向。 基本上,在同一主机名下的两个虚拟目录中有两个应用程序。 一个应用程序使用Forms身份validation,一个使用Windows。 使用Windows身份validation的人创建有效的表单身份validationcookie并重定向到第二个虚拟目录。
ASP.NET混合模式身份validation
我在生产中有这个确切的设置,我设置我的门户使用FormsAuth并编写了一个函数,使访问者IP查找登录到该IP / PC的用户帐户。 使用我找到的名称(例如DOMAIN\user ),我使用Membership.GetUser(validation域与我的域匹配,以及用户名/帐户在我的FormsAth提供程序中是否有效。 如果此调用返回匹配且用户IsApproved该用户创建FormsAuthenticationTicket和cookie。 我在网络上有400多人,这完美地工作,唯一仍然登录的计算机是(1.我的门户网站没有帐户的用户,2。一些MAC / Linux用户,3。没有在网络上启动的移动用户并使组策略启用其防火墙高。
此解决方案的问题是它需要模拟域管理员帐户来查询用户PC,并且您使用非托管代码netapi32.dll 。
这是我使用的代码(为简洁起见,未提供外部函数调用)。 我试图简化这一点,因为有很多外部呼叫。
string account = String.Empty; string domain = String.Empty; string user = String.Empty; ImpersonateUser iu = new ImpersonateUser(); //Helper that Enabled Impersonation if (iu.impersonateValidUser(StringHelper.GetAppSetting("DomainAccount"), StringHelper.GetAppSetting("DomainName"), StringHelper.GetEncryptedAppSetting("DomainAccountPassword"))) { NetWorkstationUserEnum nws = new NetWorkstationUserEnum(); //Wrapper for netapi32.dll (Tested on Vista, XP, Win2K, Win2K3, Win2K8) string host = nws.DNSLookup(Request.UserHostAddress); // netapi32.dll requires a host name, not an IP address string[] users = nws.ScanHost(host); // Gets the users/accounts logged in if (nws.ScanHost(host).Length > 0) { string workstationaccount = string.Empty; if (host.IndexOf('.') == -1) // Pick which account to use, I have 99.9% success with this logic (only time doesn't work is when you run a interactive process as a admin eg Run As ). { workstationaccount = String.Format("{0}\\{1}$",StringHelper.GetAppSetting("DomainName"), host).ToUpper(); } else { workstationaccount = String.Format("{0}\\{1}$", StringHelper.GetAppSetting("DomainName"), host.Substring(0, host.IndexOf('.'))).ToUpperInvariant(); } account = users[users.Length - 1].Equals(workstationaccount) ? users[0] : users[users.Length - 1]; domain = account.Substring(0, account.IndexOf("\\")); user = account.Substring(account.IndexOf("\\") + 1, account.Length - account.IndexOf("\\") - 1); } iu.undoImpersonation(); // Disable Impersonation }
现在使用我们在第一个函数/进程中获取的帐户,我们现在尝试validation并确定是否应该显示登录或自动登录用户。
MembershipUser membershipUser = Membership.GetUser(user); if (membershipUser != null && membershipUser.IsApproved) { string userRoles = string.Empty; // Get all their roles FormsAuthenticationUtil.RedirectFromLoginPage(user, userRoles, true); // Create FormsAuthTicket + Cookie + }
很久以前我写了一篇关于这个的博客文章,这里是我在post中提供的netapi32.dll包装器和我的Impersonation助手的链接源代码下载
您不能在同一个ASP.NET应用程序中同时具有NTLM和FormsAuthentication。 您将在单独的虚拟目录中需要两个不同的应用程序