Discussion :

[yukafrisbee]

Bonjour

je rencontre un problème sur une application en C#/C++:
j'ai un service "ServiceAgent" qui execute une dll en c# "maDLL"; cette DLL va ensuite appeler une autre dll en c++.
ServiceAgent est un service, et est donc lancé via le compte SYSTEM. Mais avec un mécanisme d'impersonation, ServiceAgent a récuperé des droits utilisateurs "user1".
Or dans "maDLL", on doit acceder des fichiers sur un serveur distant \\Server. "user1" y a accès mais pas le compte SYSTEM.

Mon problème est le suivant:
Dans les couches "hautes" de maDLL, je vois bien l'impersonation et je peux accéder aux fichiers sur \\Server. Cependant dans les couches basses en c++, je n'ai plus accès aux fichiers sur \\Server et l'impersonation est désactivée (OpenThreadToken me retourne no token).


Est ce que ça vous dit quelque chose ? Comment puis je étendre l'impersonation à tout mon code ?

Merci d'avance

Romain

[yukafrisbee]

Bonjour,

j'ai pas mal avancé sur le sujet, je posterai une réponse exhaustive sur le sujet bientôt.
Cependant dans un cas similaire, je veux lancer un nouveau process en c# mais je n'arrive pas a attribuer a ce process les droits nécessaires. Comment dois je faire ?
J'ai essayé en passant par CreateProcessAsUser mais j'ai une erreur "Le type du jeton est inadéquat pour ce genre d'utilisation". Est ce que ca vous dit quelque chose ?

Merci
Romain

[tomlev]

Il me semble que le problème n'est pas vraiment lié à C#... sur ce genre de questions, tu auras sans doute plus de réponses sur le forum Windows

[yukafrisbee]

Dans ce cas précis, il s'agissait de lancer un nouveau process avec des droits supplémentaires. Les commandes basiques c# Process.Start() ne permettent pas à ma connaissance de passer des droits supplémentaires au process lancé, il faut faire des manipulations plus complexe.

[yukafrisbee]

Du coup j'ai résolu mon problème entre temps.

Voici la solution:
En c#, quand on créée un process, pour lui passer des droits d'accès récuperés par impersonation:

1. récuperer l'identité avec WindowsPrincipal et WindowsIdentity

2. Dupliquer le jeton de sécurité

- importer la méthode de l'api Win32 DuplicateTokenEx
Attention aux paramètres:
IntPtr hExistingToken: identity.token
DWORD dwDesiredAccess: MAXIMUM_ALLOWED
int SECURITY_IMPERSONATION_LEVEL : 2 (SecurityImpersonation)
int TOKEN_TYPE: 1 (TokenPrimary)
out IntPtr: duplicateToken


3. Lancer le process a l'aide de duplicate token
(méthode de l'API Win32)

Je ne détaille pas, toutes les infos pour bien utiliser ces méthodes sont sur le net ...

Dites moi si ces infos sont utiles, je fermerai le fil de discussion ensuite.