1. Inicio
  2. Pregunta y respuesta
  3. ¿Cómo construir la funcionalidad RUNAS/NETONLY en un programa (C# /. NET/WinForms)?

¿Cómo construir la funcionalidad RUNAS/NETONLY en un programa (C# /. NET/WinForms)?

2009-04-16 23 views
19

Nuestras estaciones de trabajo no son miembros del dominio en el que se encuentra nuestro servidor SQL. (En realidad no están en un dominio, no preguntes).¿Cómo construir la funcionalidad RUNAS/NETONLY en un programa (C# /. NET/WinForms)?

Cuando usamos SSMS o algo así para conectarnos al servidor SQL, usamos RUNAS/NETONLY con DOMAIN \ user. Luego ingresamos la contraseña y se inicia el programa. (RUNAS/NETONLY no le permite incluir la contraseña en el archivo por lotes).

Tengo una aplicación .NET WinForms que necesita una conexión SQL, y los usuarios tienen que ejecutarla ejecutando un archivo por lotes que tiene la línea de comandos RUNAS/NETONLY y luego ejecuta el EXE.

Si el usuario inicia accidentalmente el EXE directamente, no se puede conectar a SQL Server.

Al hacer clic derecho en la aplicación y usar la opción "Ejecutar como ..." no funciona (probablemente porque la estación de trabajo no sabe realmente sobre el dominio).

Estoy buscando una forma para que la aplicación haga la funcionalidad RUNAS/NETONLY internamente antes de que comience algo significativo.

Por favor, vea este enlace para una descripción de cómo funciona RUNA/netonly: http://www.eggheadcafe.com/conversation.aspx?messageid=32443204&threadid=32442982

Estoy pensando que voy a tener que usar LOGON_NETCREDENTIALS_ONLY con CreateProcessWithLogonW

Fuente

2009-04-16 Cade Roux

Respuesta

3

que se reunieron estos enlaces útiles:

http://www.developmentnow.com/g/36_2006_3_0_0_725350/Need-help-with-impersonation-please-.htm

http://blrchen.spaces.live.com/blog/cns!572204F8C4F8A77A!251.entry

http://geekswithblogs.net/khanna/archive/2005/02/09/22430.aspx

http://msmvps.com/blogs/martinzugec/archive/2008/06/03/use-runas-from-non-domain-computer.aspx

Resulta que voy a tiene que usar LOGON_NETCREDENTIALS_ONLY con CreateProcessWithLogonW. Voy a ver si puedo hacer que el programa detecte si se ha iniciado de esa manera y, de no ser así, recopilar las credenciales del dominio y lanzarlo. De esa forma solo habrá un EXE autogestionado.

Fuente

2009-04-17 02:50:40

+0

Sé que esto es muy viejo, pero los primeros dos enlaces (developmentnow.com y blrchen.spaces.live.com) están desactualizados. – chrnola

0

supongo que no se puede simplemente añadir un usuario para la aplicación al servidor sql y luego usar la autenticación sql en lugar de la autenticación de Windows?

Fuente

2009-04-16 20:14:30

+0

Nop. Y realmente quiero que los usuarios que acceden a este panel de control sean ellos mismos. Es como un panel de control que muestra una cantidad de procesos y permite a los usuarios activarlos, ver resultados, etc. –

6

Acabo de hacer algo similar a esto usando un ImpersonationContext. Es muy intuitivo de usar y funcionó perfectamente para mí.

Para ejecutar como un usuario diferente, la sintaxis es:

using (new Impersonator("myUsername", "myDomainname", "myPassword")) 
{ 
    // code that executes under the new context... 
}

Aquí es la clase:

namespace Tools 
{ 
    #region Using directives. 
    // ---------------------------------------------------------------------- 

    using System; 
    using System.Security.Principal; 
    using System.Runtime.InteropServices; 
    using System.ComponentModel; 

    // ---------------------------------------------------------------------- 
    #endregion 

    ///////////////////////////////////////////////////////////////////////// 

    /// <summary> 
    /// Impersonation of a user. Allows to execute code under another 
    /// user context. 
    /// Please note that the account that instantiates the Impersonator class 
    /// needs to have the 'Act as part of operating system' privilege set. 
    /// </summary> 
    /// <remarks> 
    /// This class is based on the information in the Microsoft knowledge base 
    /// article http://support.microsoft.com/default.aspx?scid=kb;en-us;Q306158 
    /// 
    /// Encapsulate an instance into a using-directive like e.g.: 
    /// 
    ///  ... 
    ///  using (new Impersonator("myUsername", "myDomainname", "myPassword")) 
    ///  { 
    ///   ... 
    ///   [code that executes under the new context] 
    ///   ... 
    ///  } 
    ///  ... 
    /// 
    /// Please contact the author Uwe Keim (mailto:[email protected]) 
    /// for questions regarding this class. 
    /// </remarks> 
    public class Impersonator : 
     IDisposable 
    { 
     #region Public methods. 
     // ------------------------------------------------------------------ 

     /// <summary> 
     /// Constructor. Starts the impersonation with the given credentials. 
     /// Please note that the account that instantiates the Impersonator class 
     /// needs to have the 'Act as part of operating system' privilege set. 
     /// </summary> 
     /// <param name="userName">The name of the user to act as.</param> 
     /// <param name="domainName">The domain name of the user to act as.</param> 
     /// <param name="password">The password of the user to act as.</param> 
     public Impersonator(
      string userName, 
      string domainName, 
      string password) 
     { 
      ImpersonateValidUser(userName, domainName, password); 
     } 

     // ------------------------------------------------------------------ 
     #endregion 

     #region IDisposable member. 
     // ------------------------------------------------------------------ 

     public void Dispose() 
     { 
      UndoImpersonation(); 
     } 

     // ------------------------------------------------------------------ 
     #endregion 

     #region P/Invoke. 
     // ------------------------------------------------------------------ 

     [DllImport("advapi32.dll", SetLastError = true)] 
     private static extern int LogonUser(
      string lpszUserName, 
      string lpszDomain, 
      string lpszPassword, 
      int dwLogonType, 
      int dwLogonProvider, 
      ref IntPtr phToken); 

     [DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)] 
     private static extern int DuplicateToken(
      IntPtr hToken, 
      int impersonationLevel, 
      ref IntPtr hNewToken); 

     [DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)] 
     private static extern bool RevertToSelf(); 

     [DllImport("kernel32.dll", CharSet = CharSet.Auto)] 
     private static extern bool CloseHandle(
      IntPtr handle); 

     private const int LOGON32_LOGON_INTERACTIVE = 2; 
     private const int LOGON32_PROVIDER_DEFAULT = 0; 

     // ------------------------------------------------------------------ 
     #endregion 

     #region Private member. 
     // ------------------------------------------------------------------ 

     /// <summary> 
     /// Does the actual impersonation. 
     /// </summary> 
     /// <param name="userName">The name of the user to act as.</param> 
     /// <param name="domainName">The domain name of the user to act as.</param> 
     /// <param name="password">The password of the user to act as.</param> 
     private void ImpersonateValidUser(
      string userName, 
      string domain, 
      string password) 
     { 
      WindowsIdentity tempWindowsIdentity = null; 
      IntPtr token = IntPtr.Zero; 
      IntPtr tokenDuplicate = IntPtr.Zero; 

      try 
      { 
       if (RevertToSelf()) 
       { 
        if (LogonUser(
         userName, 
         domain, 
         password, 
         LOGON32_LOGON_INTERACTIVE, 
         LOGON32_PROVIDER_DEFAULT, 
         ref token) != 0) 
        { 
         if (DuplicateToken(token, 2, ref tokenDuplicate) != 0) 
         { 
          tempWindowsIdentity = new WindowsIdentity(tokenDuplicate); 
          impersonationContext = tempWindowsIdentity.Impersonate(); 
         } 
         else 
         { 
          throw new Win32Exception(Marshal.GetLastWin32Error()); 
         } 
        } 
        else 
        { 
         throw new Win32Exception(Marshal.GetLastWin32Error()); 
        } 
       } 
       else 
       { 
        throw new Win32Exception(Marshal.GetLastWin32Error()); 
       } 
      } 
      finally 
      { 
       if (token != IntPtr.Zero) 
       { 
        CloseHandle(token); 
       } 
       if (tokenDuplicate != IntPtr.Zero) 
       { 
        CloseHandle(tokenDuplicate); 
       } 
      } 
     } 

     /// <summary> 
     /// Reverts the impersonation. 
     /// </summary> 
     private void UndoImpersonation() 
     { 
      if (impersonationContext != null) 
      { 
       impersonationContext.Undo(); 
      } 
     } 

     private WindowsImpersonationContext impersonationContext = null; 

     // ------------------------------------------------------------------ 
     #endregion 
    } 

    ///////////////////////////////////////////////////////////////////////// 
}

Fuente

2009-04-16 20:17:14

+0

He usado código similar en un instalador personalizado; sin embargo, el derecho 'Actuar como parte del sistema operativo' es muy poderoso y Los administradores de sistemas obtuvieron una gran cantidad de retroalimentación al otorgar esto a usuarios promedio. YMMV, por supuesto, –

+0

Bueno, este código solo sirve para iniciar sesión localmente: para las credenciales de acceso remoto (básicamente para la conexión SQL) tienes que usar el equivalente de la bandera/NETONLY, estoy tratando de bloquearlo ahora mismo. –

+1

Este enlace ilustra la diferencia: http://www.eggheadcafe.com/conversation.aspx?messageid=32443204&threadid=32442982 - Podría necesitar crear un nuevo proceso. –

2

Este código es parte de una clase EjecutarComo que utilizamos para poner en marcha un proceso externo con privilegios elevados Al pasar null para el nombre de usuario & se le solicitará una contraseña con las advertencias estándar de UAC. Al pasar un valor para el nombre de usuario y la contraseña, puede iniciar la aplicación elevada sin el aviso de UAC.

public static Process Elevated(string process, string args, string username, string password, string workingDirectory) 
{ 
    if(process == null || process.Length == 0) throw new ArgumentNullException("process"); 

    process = Path.GetFullPath(process); 
    string domain = null; 
    if(username != null) 
     username = GetUsername(username, out domain); 
    ProcessStartInfo info = new ProcessStartInfo(); 
    info.UseShellExecute = false; 
    info.Arguments = args; 
    info.WorkingDirectory = workingDirectory ?? Path.GetDirectoryName(process); 
    info.FileName = process; 
    info.Verb = "runas"; 
    info.UserName = username; 
    info.Domain = domain; 
    info.LoadUserProfile = true; 
    if(password != null) 
    { 
     SecureString ss = new SecureString(); 
     foreach(char c in password) 
      ss.AppendChar(c); 
     info.Password = ss; 
    } 

    return Process.Start(info); 
} 

private static string GetUsername(string username, out string domain) 
{ 
    SplitUserName(username, out username, out domain); 

    if(domain == null && username.IndexOf('@') < 0) 
     domain = Environment.GetEnvironmentVariable("USERDOMAIN"); 
    return username; 
}

Fuente

2009-04-16 21:08:08

+0

El ProcessStartInfo (y por lo tanto el método Process.Start) no tiene ninguna configuración equivalente a RUNAS/NETONLY, donde la red las credenciales se usan solo para la conexión de red, no para los permisos de subprocesos/procesos locales. –

+0

Bummer ... puede que tenga que recurrir a PInvoke y CreateProcess. –

10

Sé que este es un hilo antiguo, pero fue muy útil. Tengo exactamente la misma situación que Cade Roux, ya que quería/funcionalidad de estilo netonly.

¡La respuesta de John Rasch funciona con una pequeña modificación!

Añadir la siguiente constante (alrededor de la línea 102 para la consistencia):

private const int LOGON32_LOGON_NEW_CREDENTIALS = 9;

a continuación, cambiar la llamada a LogonUser utilizar LOGON32_LOGON_NEW_CREDENTIALS en lugar de LOGON32_LOGON_INTERACTIVE.

Ese es el único cambio que tuve que hacer para que esto funcione a la perfección! ¡Gracias John y Cade!

Aquí está el código modificado en su totalidad por la facilidad de copiar/pegar:

namespace Tools 
{ 
    #region Using directives. 
    // ---------------------------------------------------------------------- 

    using System; 
    using System.Security.Principal; 
    using System.Runtime.InteropServices; 
    using System.ComponentModel; 

    // ---------------------------------------------------------------------- 
    #endregion 

    ///////////////////////////////////////////////////////////////////////// 

    /// <summary> 
    /// Impersonation of a user. Allows to execute code under another 
    /// user context. 
    /// Please note that the account that instantiates the Impersonator class 
    /// needs to have the 'Act as part of operating system' privilege set. 
    /// </summary> 
    /// <remarks> 
    /// This class is based on the information in the Microsoft knowledge base 
    /// article http://support.microsoft.com/default.aspx?scid=kb;en-us;Q306158 
    /// 
    /// Encapsulate an instance into a using-directive like e.g.: 
    /// 
    ///  ... 
    ///  using (new Impersonator("myUsername", "myDomainname", "myPassword")) 
    ///  { 
    ///   ... 
    ///   [code that executes under the new context] 
    ///   ... 
    ///  } 
    ///  ... 
    /// 
    /// Please contact the author Uwe Keim (mailto:[email protected]) 
    /// for questions regarding this class. 
    /// </remarks> 
    public class Impersonator : 
     IDisposable 
    { 
     #region Public methods. 
     // ------------------------------------------------------------------ 

     /// <summary> 
     /// Constructor. Starts the impersonation with the given credentials. 
     /// Please note that the account that instantiates the Impersonator class 
     /// needs to have the 'Act as part of operating system' privilege set. 
     /// </summary> 
     /// <param name="userName">The name of the user to act as.</param> 
     /// <param name="domainName">The domain name of the user to act as.</param> 
     /// <param name="password">The password of the user to act as.</param> 
     public Impersonator(
      string userName, 
      string domainName, 
      string password) 
     { 
      ImpersonateValidUser(userName, domainName, password); 
     } 

     // ------------------------------------------------------------------ 
     #endregion 

     #region IDisposable member. 
     // ------------------------------------------------------------------ 

     public void Dispose() 
     { 
      UndoImpersonation(); 
     } 

     // ------------------------------------------------------------------ 
     #endregion 

     #region P/Invoke. 
     // ------------------------------------------------------------------ 

     [DllImport("advapi32.dll", SetLastError = true)] 
     private static extern int LogonUser(
      string lpszUserName, 
      string lpszDomain, 
      string lpszPassword, 
      int dwLogonType, 
      int dwLogonProvider, 
      ref IntPtr phToken); 

     [DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)] 
     private static extern int DuplicateToken(
      IntPtr hToken, 
      int impersonationLevel, 
      ref IntPtr hNewToken); 

     [DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)] 
     private static extern bool RevertToSelf(); 

     [DllImport("kernel32.dll", CharSet = CharSet.Auto)] 
     private static extern bool CloseHandle(
      IntPtr handle); 

     private const int LOGON32_LOGON_INTERACTIVE = 2; 
     private const int LOGON32_LOGON_NEW_CREDENTIALS = 9; 
     private const int LOGON32_PROVIDER_DEFAULT = 0; 

     // ------------------------------------------------------------------ 
     #endregion 

     #region Private member. 
     // ------------------------------------------------------------------ 

     /// <summary> 
     /// Does the actual impersonation. 
     /// </summary> 
     /// <param name="userName">The name of the user to act as.</param> 
     /// <param name="domainName">The domain name of the user to act as.</param> 
     /// <param name="password">The password of the user to act as.</param> 
     private void ImpersonateValidUser(
      string userName, 
      string domain, 
      string password) 
     { 
      WindowsIdentity tempWindowsIdentity = null; 
      IntPtr token = IntPtr.Zero; 
      IntPtr tokenDuplicate = IntPtr.Zero; 

      try 
      { 
       if (RevertToSelf()) 
       { 
        if (LogonUser(
         userName, 
         domain, 
         password, 
         LOGON32_LOGON_NEW_CREDENTIALS, 
         LOGON32_PROVIDER_DEFAULT, 
         ref token) != 0) 
        { 
         if (DuplicateToken(token, 2, ref tokenDuplicate) != 0) 
         { 
          tempWindowsIdentity = new WindowsIdentity(tokenDuplicate); 
          impersonationContext = tempWindowsIdentity.Impersonate(); 
         } 
         else 
         { 
          throw new Win32Exception(Marshal.GetLastWin32Error()); 
         } 
        } 
        else 
        { 
         throw new Win32Exception(Marshal.GetLastWin32Error()); 
        } 
       } 
       else 
       { 
        throw new Win32Exception(Marshal.GetLastWin32Error()); 
       } 
      } 
      finally 
      { 
       if (token != IntPtr.Zero) 
       { 
        CloseHandle(token); 
       } 
       if (tokenDuplicate != IntPtr.Zero) 
       { 
        CloseHandle(tokenDuplicate); 
       } 
      } 
     } 

     /// <summary> 
     /// Reverts the impersonation. 
     /// </summary> 
     private void UndoImpersonation() 
     { 
      if (impersonationContext != null) 
      { 
       impersonationContext.Undo(); 
      } 
     } 

     private WindowsImpersonationContext impersonationContext = null; 

     // ------------------------------------------------------------------ 
     #endregion 
    } 

    ///////////////////////////////////////////////////////////////////////// 
}

Fuente

2012-07-26 15:04:02 Travis

+1

Sé que esto es unos años más tarde, pero ¡¡¡¡¡Gracias !!!!!!!!! Esto me ayudó mucho. –

Cuestiones relacionadas

 Cuestiones relacionadas