我正在开发一个 Intranet Web 应用程序,并且正在学习如何将 VB 连接到 Active Directory。我们将执行一些特定于位置的权限,我的老板希望(如果可能)我连接到 Active Directory 以获取用户的位置。
我认为我需要做的就是获取用户名,但我不确定最好的方法是什么。我们是微软唯一的商店,所以 IE 和 IIS 是一天的秩序。要访问 Intranet,您必须使用我们的域登录到计算机,这是一种安全级别,但随后我需要进行身份验证并确保用户有权进行更改。我想我们要么在 AD 信息中有一个修饰符(如果还没有的话),要么在数据库中保留一个权限表,但前者可能是首选。
我知道 IIS 具有允许/需要身份验证的功能,但我不确定它应该如何工作。
那么,获取用户凭据的最佳/最简单/有点(最?)安全的方法是什么?我总是可以做一个登录页面,但如果我能在后台获取他们的 AD 凭据会更好。
谢谢!
【问题讨论】:
标签: vb.net authentication credentials
您需要为您的 IIS 站点禁用匿名身份验证并改为启用 windows-auth。
现在转到您的 web.config 并更改以下内容
<authentication mode="Windows">
...
</authentication>
见http://msdn.microsoft.com/en-au/library/532aee0e(v=VS.80).aspx
&
必要时
<identity impersonate="true" />
见http://msdn.microsoft.com/en-us/library/aa292118(VS.71).aspx
现在您应该能够使用
获取当前用户HttpContext.Current.User.Identity.Name
检查用户是否在您可以使用的特定组中
HttpContext.Current.User.IsInRole("YourActiveDirectoryGroup")
【讨论】:
IIS 可以配置为使用集成身份验证,这将使您能够访问用户的 samaccountname(Windows 2000 之前的登录)。有了它,您可以对 AD 进行 LDAP 查询并检查组成员身份。如果用户是 CanModifyStuffGroup 的成员(您在 AD 中创建并添加了用户),则让他们进行更改,否则为他们提供只读版本 - 或其他任何内容。
【讨论】: