.Net을 사용하여 연결이 끊어지면 Active Directory에 대해 인증합니다.

Question

인증을 위해 System.DirectoryServices 및 LDAP를 사용하는 .Net 클라이언트 WPF 응용 프로그램이 있습니다. 앱을 시작할 때 사용자가 자신의 도메인 계정 (Windows에 로그인 한 방법)을 사용하여 다시 인증하도록합니다. 연결이 가능할 때 다음을 사용하여 인증을 수행 할 수 있음을 이해합니다.

DirectoryEntry entry = new DirectoryEntry("LDAP://" + domain, 
      userName, password); 

주름은 응용 프로그램이 연결되지 않은 원격 사용자에 의해 사용되는 경우입니다. Windows 자체는 도메인 사용자가 연결이 끊긴 경우에도 사인온 할 수 있습니다. .Net Framework를 사용하여 연결이 끊긴 환경에서 사용자를 인증하는 비슷한 방법이 있습니까?

Answer 1

나는 advapi32.dll의 LogonUser 기능을 사용하여이 작업을 수행 할 수있는 방법을 찾았습니다. 분리 할 때

Dim tokenHandle As New IntPtr(0) 
Const LOGON32_PROVIDER_DEFAULT As Integer = 0 
Const LOGON32_LOGON_INTERACTIVE As Integer = 2 
tokenHandle = IntPtr.Zero 
Dim returnValue As Boolean = LogonUser("<username>", "<domain>", "<password>", LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT, tokenHandle) 

Private Declare Auto Function LogonUser Lib "advapi32.dll" (ByVal lpszUsername As [String], _ 
         ByVal lpszDomain As [String], ByVal lpszPassword As [String], _ 
         ByVal dwLogonType As Integer, ByVal dwLogonProvider As Integer, _ 
         ByRef phToken As IntPtr) As Boolean 

이의 마지막 로그의 로컬 캐시 된 버전에 대해 유효성을 검사 나타납니다.

Answer 2

연결이없는 경우 연결되지 않습니다. Windows는 해당 사용자에 대한 마지막 로그인의 캐시 된 버전을 유지합니다. 이는 새 사용자가 도메인에 연결되지 않은 시스템에 로그인 할 수 없음을 의미합니다. 로컬 시스템 인증을 사용하여 어떤 사용자가 시스템을 사용 중인지 확인하고이를 기반으로 로컬 캐시 된 권한을 판별 할 수 있습니다. 이러한 메서드는 여전히 System.DirectoryServices 네임 스페이스 내에 있지만 쿼리 구문 분석 위치는 변경 될 수 있습니다 (LDAP 쿼리를 로컬로 수락 할 수 없다고 생각합니다).

편집 :
당신은 이러한 요구를 촉진 할 System.Security/System.Security.Permissions 네임 스페이스와 몇 가지 클래스를 찾을 수 있습니다.