IIS Mixed Anonymous и Windows Authentication

Question

Мне нужно создать веб-страницу ASP.NET (размещенную на Windows Server 2008R2 с IIS 7.5), которая должна быть видна пользователям домена и анонимным пользователям без запроса учетных данных для обоих из них. Пользователям домена должно быть разрешено просматривать всю страницу, а анонимные пользователи могут видеть общедоступную часть страницы.

• Когда я включить проверку подлинности Windows, могут видеть пользователей домена всей страницы, но анонимные пользователи ввести учетные данные.
• Когда я включаю анонимную аутентификацию или обе (анонимно и windows): анонимные пользователи могут видеть общедоступную часть страницы, но пользователи домена не видят всей страницы (они как анонимные пользователи).

Я использую следующую строку для различения анонимных пользователей и пользователей домена:

WindowsAccountName = HttpContext.Current.Request.LogonUserIdentity.Name;

Если имя WindowsAccountName пусто, пользователь является анонимным, в противном случае является пользователем домена. К сожалению, когда включена анонимная аутентификация, WindowsAccountName всегда пуст (даже для пользователей домена), но когда анонимная аутентификация отключена, пользователям, не являющимся доменами, предлагается ввести учетные данные.

У вас есть решение проблемы? Имейте в виду, что пользователи домена распределяются между различными сетями, поэтому IP-адрес не является хорошим выбором для дискриминации пользователей домена и пользователей, не являющихся доменными.

это выглядит как улов-22 для меня

Спасибо.

Answer 1

Термин для этого - аутентификация в смешанном режиме. Я делал это несколько раз.

Это может быть сделано с использованием сайта, прошедшего проверку подлинности Windows, который больше не пытается вывести учетные данные пользователей из AD и передать их анонимному сайту. Я сделал это, используя специальный билет (GUID в базе данных), срок действия которого истекает через 5 секунд. Анонимный сайт принимает переданный GUID, запрашивает БД и получает идентификатор пользователя. Другими способами я сделал это с зашифрованным параметром URL, который содержит идентификатор пользователя и отметку времени.

внутренний сайт

Создание Перенаправление URL сайта: Установка этого сайта, как Window Auth, так что вы можете вытащить идентификатор пользователя из Active Directory. Дайте вашим пользователям этот URL-адрес и/или сделайте ссылку, которую они нажимают на вашу интрасеть. Затем этот сайт вызывает ваш анонимный сайт и передает учетные данные пользователя (идентификатор входа).

a. Это можно сделать либо зашифрованной строкой по URL-адресу, либо зашифрованным значением в файле cookie. Вы также можете зашифровать с указанием даты и времени истечения срока.

b. (Выступая из формы Auth) Создайте Билет проверки подлинности форм с этим идентификатором пользователя. Запустите любую другую логику входа. Готово.

Внешний сайт - Нет изменений не требуется. Позвольте пользователям войти в систему как есть.