Discussion :

[nicoboud2]

Bonjour,

Sur le même réseau d'entreprise, j'ai des serveurs, et des comptes utilisateurs.
Je veux que mon appli ASP.NET, qui tourne sur un de ces serveurs, récupère des infos sur l'annuaire LDAP. Cela ne pose aucun problème quand les requêtes sont faites avec les droits d'un compte du domaine.

Mais cela :
- oblige à avoir un compte de domaine dédié, avec mot de passe qui n'expire jamais --> les administrateurs m'ont regardé d'un sale oeil.
- complique le code puisqu'il faut passer par des "impersonate" pour qu'une partie du code s'exécute avec le compte dédié.

Ma question est simple. J'espère que la réponse sera positive et simple également :

Y a-t-il un moyen de consulter les infos LDAP en faisant tourner l'appli avec un compte local, sachant que le serveur sur lequel elle tourne est sur le même domaine que les comptes utilisateurs qui m'intéressent ??

Merci !

[bossun]

Quelles genres d'infos as-tu besoin?

En principe tu ne peux pas.. mais à voir ce que tu as besoin..

[nicoboud2]

En principe tu ne peux pas.. mais à voir ce que tu as besoin..

Le pire, c'est que je n'ai pas besoin de grand chose !
Juste l'adresse email !

[bossun]

que t'aies besoin de peu de choses ou beaucoup n'a pas d'importance,

Si tu peux faire ça, me surprendrait beaucoup et surtout m'inquiéterait!!

[nicoboud2]

J'apporte une précision : si les utilisateurs qui utilisent l'appli sont connectés sur le domaine en question, il doit bien y avoir moyen, en utilisant leurs droits, d'aller récupérer quelques infos sur le même domaine non ?

[bossun]

Une fois que tu as tout dit..

Alors dans ce cas, tu peux essayer d'utiliser l'authentification Windows (avec l'emprunt d'identité). si tes utilisateurs sont dans le même domaine que ton serveur iis et qu'ils utilisent IE, tout devrait être transparent.

Dans le cas où tes utilisateurs utilisent genre Firefox et qu'ils sont en dehors du domaine, une boite de dialogue s'ouvre pour qu'ils entrent username/password.

[nicoboud2]

Alors maintenant, ma question est simple ... comment est-ce que je fais ?

Car je ne pense pas que ce soit aussi transparent : pour l'instant, je ne suis arrivé à interroger l'annuaire LDAP qu'en utilisant la technique de l'emprunt d'identité en désignant un compte précis sur le domaine, dont je fournis le nom et le mot de passe.

Car si je ne fournis pas expressément ces informations (qui m'obligent donc à me trainer un mot de passe en clair dans mon web.config), alors la recherche sur l'annuaire LDAP est effectuée par le compte local ASPNET du serveur. Il est donc normal que ça plante ...

bossun, encore merci pour ton aide.

[bossun]

montre ton web.config

[28dev]

Je comprends ta problématique puisque je l'ai rencontré il n'y a pas si longtemps.

Le but était de faire un asp.Net web service qui récupérait des informations du controlleur de domaine sans compte de service et donc en utilisant directement les droits de l'utilisateur courant.

J'avais lu plein d'article qui au final ne fonctionne pas trop et perdu un temps fou à devoir trouver une solution. et finalement c'était tout simple.

J'ai explicitement mis dans mon web.config
<identity impersonate="false" />
et ca fonctionne, mes requêtes LDAP via DirectoryServices tournent.

p-t que ca pourra t'aider.

[bossun]

J'ai explicitement mis dans mon web.config
<identity impersonate="false" />

Si tu mets ça à faux, le site va utiliser le compte aspnet pour accéder aux ressources... ça va marcher si le compte a les droits suffisants....

Si tu la mets à Vrai, le site va utiliser les droits de l'utilisateur connecté...

[28dev]

En le mettant à vrai, j'ai une erreur lors de l'utilisation de DirectoryServices
"erreur d'opération (en réalité d'accès) même si les utilisateurs ont les droits. En spécifiant les identifiants d'un utilisateur pour l'impersonation, ca fonctionne. En indiquant les identifiant directement à la création du DirectoryEntry, cela fonctionne bien.

En ne mettant rien au niveau de l'impersonation j'ai la même erreur.

Mais curieusement en le mettant explicitement à false, cela fonctionne et les droits du compte asp sont limités.

Je dis bien curieusement puisque comme tu le dis, selon la documentation pour s'exécuter avec domain\user il faut normalement mettre impersonate = true

voir :

http://www.microsoft.com/france/tech.../secmod38.mspx