NTLM 作为 SSO，并作为模拟管理员执行某些操作

Question

我似乎无法偶然发现 IIS / ASP.NET 设置的正确组合来完成以下任务：

1. 内部域上的所有用户都应该能够访问 IIS 站点（使用 NTLM 身份验证），并且 ASP.NET 应用程序应该能够获取当前用户的用户名（又名用户被验证为自己）。
2. 正在运行的 ASP.NET 应用程序应该能够在管理员帐户下执行某些操作。例如，Active Directory 更改或将文件写入受限位置。

您可能会猜到，但该应用程序的重点是能够让“普通”用户通过 Web 应用程序进行特定的“管理”更改。同时，应使用“普通”用户的帐户记录更改，因此我不想丢失经过身份验证的用户的凭据。

寻找 IIS6 中的特定设置来完成 #1（域中的任何用户访问该站点并以自己的身份进行身份验证），以及 #2 的代码。

Answer 1

至少有两个选项：

两者通用：

• 您的 IIS 设置应设置为 Windows 身份验证。
• 可以从 httpcontext 中读取用户的身份。

选项 1：

• 设置 impersonation = false
• 将应用程序池的标识设置为有权进行 AD 更改的用户
• 将上述用户添加到 IIS_WPG 组

选项 2：

• 进行 AD 更改时，将线程的标识设置为允许进行 AD 更改的用户

对于选项 2，以下是使用模拟用户的代码示例：

http://msdn.microsoft.com/en-us/library/system.security.principal.windowsimpersonationcontext.aspx

Answer 2

从安全角度来看，最好的方法是将所有管理操作分离到其自己的 Web 服务中，该服务进行身份验证，但不进行模拟。站点的正常部分将通过调用 Web 服务来执行管理操作，就像任何其他客户端一样，即使是本地主机调用。

通过这种方式，您可以实现普通应用程序池（模拟）和特权应用程序池（管理）之间的隔离。

最后，这可能是吹毛求疵，但它应该是 Kerberos 身份验证，而不是 NTLM，因为 NTLM 不允许 约束委派，如果您的“普通”应用程序访问本地 IIS 主机之外的任何内容，则需要启用委派。