按需远程验证客户端 Windows 用户

Question

假设我正在为特定的网络协议编写服务器。如果我知道客户端正在 Windows 计算机上运行，​​我的服务器是否可以对拥有独立于相关网络协议启动连接的客户端进程的 Windows 用户进行身份验证？

基本原理

我实际上想编写一个 FTP 代理服务器。客户端将使用所需的服务器用户名和虚假密码连接到代理。然后，代理将验证运行 FTP 客户端的 Windows 用户（通过 FTP 协议之外的某种机制）。对 Windows 用户进行身份验证后，代理将确定该 Windows 用户是否可以使用他们通过 FTP 客户端提供的用户名连接到真实的 FTP 服务器。

条件

• 客户端和代理将位于同一防火墙内，并且客户端不会隐藏在 NAT 后面（如果需要，允许代理连接回客户端）。

Answer 1

微软试图让这变得困难。他们不希望程序在没有凭据的情况下进行身份验证。

您必须插入身份验证框架并让系统相信您确实是身份验证的来源。请参阅“Lsa”函数。

请参阅开源 ssh 服务器的源代码以了解您的选择。

当然，如果你真的有凭据，你可以合法地插入框架。

如果连接的另一端是 Windows 机器，您可以通过 Kerberos 获取凭据传输并使用 SSPI API。我推荐这本书。