Discussion :

[Vilmir]

Bonjour,

Dans le cadre d'une structure Client - Server en C++, j'ai un serveur d'authentification qui :
1) Vérifie l'identité du client via l'appel à LogonUser
2) Lance un processus Serveur de traitement avec l'identité Windows du client grâce à CreateProcessAsUser avec le token précédemment obtenu par LogonUser

Ce serveur d'authentification peut être démarré en tant que processus par un utilisateur ayant le privilège:
Replace a process level token

Tout se passe bien quand on s'en sert en tant que processus.

Il peut aussi être démarré en tant que Service sous le compte Local Service. Et là le problème arrive.

La phase 1 d'authentification se passe bien mais dans la phase 2, le processus fils crée via CreateProcessAsUser meurt tout de suite après son lancement.
Les logs que j'ai pu obtenir (dans la douleur) sur l'exécution n'ont montré rien de pertinent.
Le seul cas qui marche est pour les clients faisant partie du groupe Adminstrateurs local à la machine.
J'ai essayé de donner tous les privilèges du groupe Administrateurs à un compte de Test ainsi que le Full Control sur les disques durs et la totalité de la base de registre et je n'ai pas obtenu de changements.

Je ne vois pas quelles autres droits/privilèges je peux ajouter à mon compte de Test pour trouver ce qu'il lui manque pour que l'impersonation marche, des idées? :/

[Vincent Rogier]

est ce que le droit "Ouvrir une session en tant que service" est accordé à l'utilisateur qui ne marche pas ?

Et quelle est la valeur qui est passé à dwLogonType de LogonUser ?

[Vilmir]

Merci pour votre temps et votre attention tout d'abord.

1) Le compte de Test a le droit "Logon as a Service"

2) Valeur de dwLogonType dans le code serveur:

LOGON32_LOGON_INTERACTIVE
This logon type is intended for users who will be interactively using the computer, such as a user being logged on by a terminal server, remote shell, or similar process. This logon type has the additional expense of caching logon information for disconnected operations; therefore, it is inappropriate for some client/server applications, such as a mail server.

[Vincent Rogier]

LOGON32_LOGON_INTERACTIVE

De mémoire, il me semble que ce flag ne marche pas au sein d'un service.
A vérifier !

[Vilmir]

Merci pour l'info, je vais tester les différents flags sur mon service

[Vilmir]

Je viens de tester les flags et avec:
LOGON32_LOGON_SERVICE

Ca marche !!! merci beaucoup Vincent, vous venez de me faire gagner du temps

Une dernière question: d'après la définition du flag qui fonctionne, je comprends que je demande à l'API un token capable de lancer un service.

Ce token va me servir pour lancer un processus via CreateProcessAsUser depuis mon service d'Authentification. Cela veut-il dire que ce processus lancé sera lui aussi considéré comme un Service pendant son exécution?

[Médinoc]

D'après la doc de LogonUser(), c'est fort possible.
Si tu veux que ton programme ne soit pas considéré comme service, tu devrais peut-être essayer un truc du genre LOGON32_LOGON_BATCH...

[Vilmir]

En effet ce serait la solution. Je l'ai testé, et le CreateProcessAsUser voit son fils échouer dès son début d'exécution.

Je pense que la clef de ma problématique est de trouver un moyen pour:

Depuis un Service, démarrer un processus avec un token utilisateur qui ne soit pas lancé en tant que Service.

D'après ce que je comprends, CreateProcessAsUser lancé depuis un service crée un fils considéré comme un service, d'où la nécéssité de mon flag LOGON32_LOGON_SERVICE.

[Médinoc]

Le fils, il échoue avant le main(), ou il a le temps de logguer au moins un truc quelque part ?

[Vilmir]

Il échoue avant le premier log

[Médinoc]

Mais CreateProcessAsUser() n'échoue pas, c'est ça ?

Un truc qui pourrait être intéressant, c'est savoir si un programme minimal passe: Un programme sans la CRT, qui se contente d'ouvrir un fichier dans un dossier public et y écrire un truc, le tout avec juste l'API Win32.
Ainsi, on saurait si le problème est dû à une DLL particulière ou si absolument aucun programme ne peut marcher...

[Vilmir]

C'est bien ça, CreateProcessAsUser n'échoue pas.
Pensez-vous qu'un processus simple sans dépendance dynamique particulière et ne faisant pas d'appels à l'API Windows serait lancé sans être considéré comme un Service depuis mon Service?

[Vincent Rogier]

Ce token va me servir pour lancer un processus via CreateProcessAsUser depuis mon service d'Authentification. Cela veut-il dire que ce processus lancé sera lui aussi considéré comme un Service pendant son exécution?

En quoi c'est génant ?

[Médinoc]

C'est bien ça, CreateProcessAsUser n'échoue pas.
Pensez-vous qu'un processus simple sans dépendance dynamique particulière et ne faisant pas d'appels à l'API Windows serait lancé sans être considéré comme un Service depuis mon Service?

Non, je pensais qu'un processus simple sand dépendance dynamique particulière et ne faisant pas d'appels à la CRT (mais pouvant faire appel à l'API Windows) pourrait peut-être être lancé avec un token dont le type de Logon n'est pas celui d'un service (notamment un LOGON32_LOGON_BATCH).

Edit: Vérifie aussi que les droits concernant le type de logon choisi sont bien là...

[Vilmir]

En quoi c'est génant ?

Si je livre mon service dans cet état, je pré-suppose que les administrateurs Windows qui vont l'utiliser n'auront pas de problèmes à donner le droit "Log On As a Service" à tous les futurs utilisateurs de mon outils.
Je ne connais pas assez leurs contraintes de sécurités et l'implication de ceci pour prendre la décision de le faire

Edit: Hors-sujet, bien vu la signature Médinoc

Edit2:
Je vais tester de remplacer mon process de traitement par un process simple pour voir.
Au niveau des privilèges, notre compte de Test a ce qu'il faut.

[Vilmir]

Je viens d'avoir un ingénieur technique de chez Microsoft. Il m'a confirmé que pour le niveau de service que j'attendais j'utilisais la bonne méthode, et que je n'avais aucune solution technique pour éviter d'avoir à donner le privilège "Logon As a Service" aux identités clients.
Merci pour votre temps, à bientôt.