代码之家 › 专栏 › 技术社区 › Hogan

如何“取消模仿”(取消代表?)在Kerberos中

kerberos iis asp.net

Hogan · 技术社区 · 15 年前

我有一个使用Kerberos访问外部资源的Web应用程序,它使用ASP.NET 3.5和IIS。

当用户与应用程序连接时,Kerberos身份验证自动神奇地允许我使用委托连接到充当用户的外部资源。这不容易做到。很好,但我有个问题。有时我需要使用一个比用户拥有更多权限的帐户连接到外部资源。运行应用程序池所使用的服务帐户具有我所需的添加权限。如何删除用户的kerberos标识并使用运行应用程序池的服务帐户与kerberos连接?

更新

我不知道为什么我没有得到任何回应。我以前从没见过。请张贴问题,他们可能会澄清问题(我也)。

在kerberos中工作,需要对委派进行概述吗?阅读此答案的第一部分: https://stackoverflow.com/a/19103747/215752 .

1 回复 | 直到 6 年前

Ryan 15 年前

我有一门课:

public class ProcessIdentityScope : IDisposable
{
    private System.Security.Principal.WindowsImpersonationContext _impersonationContext;
    private bool _disposed;

    public ProcessIdentityScope()
    {
        _impersonationContext = System.Security.Principal.WindowsIdentity.Impersonate(IntPtr.Zero);
    }

    #region IDisposable Members

    public void Dispose()
    {
        Dispose(true);
        GC.SuppressFinalize(this);
    }

    protected virtual void Dispose(bool disposing)
    {
        if (!_disposed)
        {
            _impersonationContext.Undo();
            _impersonationContext.Dispose();
            _disposed = true;
        }
        else
            throw new ObjectDisposedException("ProcessIdentityScope");
    }

    #endregion
}

我是这样使用的:

using(ProcessIdentityScope identityScope = new ProcessIdentityScope())
{
    // Any code in here runs under the Process Identity.
}

此代码基于此msdn文章: http://msdn.microsoft.com/en-us/library/ms998351.aspx

推荐文章

Serg · 进入一台在其/etc/krb5中有多个领域的机器。形态

6 年前

Glocke · 从WinXP登录到Ubuntu16.04 Samba域时未找到Kerberos CLIENT\u

6 年前

Raj Kumar Rai · AWS EMR Phoenix Kerberos不工作

6 年前

Metadata · 使用JDBC和Kerberos身份验证连接到配置单元时发生异常

6 年前

ochs.tobi · 角度从kerberos身份验证获取数据

6 年前

Florian Winter · 正在调试中的集成Windows身份验证。NET Core Weblistener应用程序

6 年前

LearningToCode · Kerberos和DNS关系

7 年前

CamW · 是否可以基于Active Directory(或其他SSO)身份验证来保护机密?

7 年前

Tran Thien An · Hadoop Kerberos:Datanode无法连接到Namenode。jsvc启动Datanode与特权端口绑定(不使用SASL)

7 年前

phg · 自动更新TGT

7 年前