Authentification Windows sur une machine distante

Version imprimable

Bonjour à tous,

Je ne suis pas sûr de poster dans la bonne section, si ce n'est pas le cas, veuillez m'en excuser :oops:

Mon problème: Je cherche à écrire un fichier sur un serveur distant. Le soucis est que lorsque je le fais manuellement (sans code) il faut que je m'authentifie en administrateur pour y accéder.

Il faut donc que je simule l'identité de l'administrateur dans le programme avant de créer le fichier.

Le code le plus proche que j'ai trouvé me permet de simuler l'identité d'un user dans un domaine mais pas un user de la machine elle même.

Est-ce que quelqu'un aurait une idée ?
Je mets en bas du message le code dont je parle.

Merci en tout cas,

Titip

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
 
ImpersonateUser iu = new ImpersonateUser();
iu.Impersonate("domain", "login", "mdp");
MessageBox.Show(iu.ToString());
iu.Undo();
 
//Classe ImpersonateUser 
using System;
using System.Collections.Generic;
using System.Text;
using System.Security.Principal;
using System.Runtime.InteropServices;
using System.Security.Permissions;
using System.Windows.Forms;
 
public class ImpersonateUser
{
    [DllImport("advapi32.dll", SetLastError = true)]
    public static extern bool LogonUser(
    String lpszUsername,
    String lpszDomain,
    String lpszPassword,
    int dwLogonType,
    int dwLogonProvider,
    ref IntPtr phToken);
    [DllImport("kernel32.dll", CharSet = CharSet.Auto)]
    public extern static bool CloseHandle(IntPtr handle);
    private static IntPtr tokenHandle = new IntPtr(0);
    private static WindowsImpersonationContext impersonatedUser;
    // If you incorporate this code into a DLL, be sure to demand that it
    // runs with FullTrust.
    [PermissionSetAttribute(SecurityAction.Demand, Name = "FullTrust")]
    public void Impersonate(string domainName, string userName, string password)
    {
        //try
        {
            // Use the unmanaged LogonUser function to get the user token for
            // the specified user, domain, and password.
            const int LOGON32_PROVIDER_DEFAULT = 0;
            // Passing this parameter causes LogonUser to create a primary token.
            const int LOGON32_LOGON_INTERACTIVE = 2;
            tokenHandle = IntPtr.Zero;
            // ---- Step - 1
            // Call LogonUser to obtain a handle to an access token.
            bool returnValue = LogonUser(
            userName,
            domainName,
            password,
            LOGON32_LOGON_INTERACTIVE,
            LOGON32_PROVIDER_DEFAULT,
            ref tokenHandle); // tokenHandle - new security token
            if (false == returnValue)
            {
                int ret = Marshal.GetLastWin32Error();
                MessageBox.Show(new System.ComponentModel.Win32Exception(ret).Message);
                throw new System.ComponentModel.Win32Exception(ret);
            }
            // ---- Step - 2
            WindowsIdentity newId = new WindowsIdentity(tokenHandle);
            // ---- Step - 3
            impersonatedUser = newId.Impersonate();
        }
    }
    // Stops impersonation
    public void Undo()
    {
        impersonatedUser.Undo();
        // Free the tokens.
        if (tokenHandle != IntPtr.Zero)
            CloseHandle(tokenHandle);
    }
}

30/07/2008, 16h30
SaumonAgile

Et si à la place de "domain", tu mets le nom de la machine distante ça donne quoi ?
30/07/2008, 16h39
titip

J'ai essayé au lieu de "domain", le nom de la machine, ou son ip et j'obtiens toujours la meme erreur: "Echec d'ouverture de session: nom d'utilisateur ou mot de passe incorrect".
30/07/2008, 17h33
ixpe

Autre piste possible, utiliser la commande run as pour lancer ton programme:
Via un .bat qui contient un truc du genre par exemple :

Code:

runas /savecred /user:domaine\login "executable"

Pour un compte local je pense qu un /user:loginlocal devrait passer.
30/07/2008, 18h13
titip

Je ne peux même pas tester l'idée parce que ce n'est pas véritablement un programme .exe, je généré une dll qui sera utilisée pour la personnalisation d'une application.

Ah oui, j'ai oublié de vous dire sur quoi je travaille:
Windows XP pour les postes clients, et Windows server 2003 pour les serveurs
30/07/2008, 18h21
Pol63

c'est dans quel namespace ImpersonateUser ?
31/07/2008, 00h27
Skyounet

Citation:

Envoyé par sperot51

c'est dans quel namespace ImpersonateUser ?

Dans aucun. Le code de la classe est dans le code du premier post.
31/07/2008, 00h31
Skyounet

D'après ce post
http://bytes.com/forum/thread269240.html

Il faudrait que tu utilises une authentification de type 9 au lieu de type 2 comme tu fais.
const int LOGON32_LOGON_INTERACTIVE = 2;
31/07/2008, 13h06
titip

Citation:

Envoyé par Skyounet

D'après ce post
http://bytes.com/forum/thread269240.html

Il faudrait que tu utilises une authentification de type 9 au lieu de type 2 comme tu fais.
const int LOGON32_LOGON_INTERACTIVE = 2;

Merci pour ta réponse mais j'ai toujours le même problème :
La machine distante est dans le même domaine que ma machine cliente. Ce que je cherche à faire, c'est d'accéder à la machine hôte avec ses identifiants administrateurs.

http://hybrid1394.free.fr/developpez/schema.png
31/07/2008, 14h46
Skyounet

Est-ce que tu as essayé avec la classe Impersonator donné dans le lien ?

http://www.codeproject.com/KB/cs/zetaimpersonator.aspx
31/07/2008, 16h05
titip
Citation:

Envoyé par Skyounet

Est-ce que tu as essayé avec la classe Impersonator donné dans le lien ?

http://www.codeproject.com/KB/cs/zetaimpersonator.aspx

Merci pour tes réponses, ça ne fonctionne toujours pas, enfin je m'en doutais parce que voici le prototype:
Code:

1 2 3 4 5 6 7 8 using ( new Impersonator( "myUsername", "myDomainname", "myPassword" ) ) { ... <code that executes under the new context> ... }
C'est toujours par rapport à un domaine et pas à un nom d'hôte.
01/08/2008, 18h57
titip

Vu qu'il n'y a plus d'idées, je poste la solution de contournement que je vais probablement adopter. Je vais creer un compte au niveau du domaine à qui je donnerai des droits admin sur la machine distante. Je pourrai donc utiliser les methodes proposées plus haut.

Si d'autres idées vous viennent à l'esprit, je serai content de les lire :)

Merci en tout cas à tous ceux qui ont participé

titip