Authentification à distance client Windows utilisateur sur demande

Question

Supposons que j'écris un serveur pour un protocole réseau particulier. Si je sais que le client s'exécute sur une machine Windows, est-il possible que mon serveur authentifie l'utilisateur Windows propriétaire du processus client qui a initié la connexion indépendamment du protocole réseau en question?

Justification

Je souhaite vraiment écrire un serveur proxy FTP. Les clients se connecteraient au proxy avec le nom d'utilisateur du serveur souhaité et un mot de passe bidon. Le proxy authentifie alors l'utilisateur Windows qui exécute le client FTP (via un mécanisme autre que le protocole FTP). Après l'authentification de l'utilisateur Windows, le proxy détermine si l'utilisateur Windows peut se connecter au serveur FTP réel en tant que nom d'utilisateur fourni via son client FTP.

Conditions

• Tant les clients et le proxy seront dans le même pare-feu et aucun client sera caché derrière NAT (permettant le proxy de se connecter au client si nécessaire).

Answer 1

Microsoft essaie de rendre cela difficile. Ils ne veulent pas que les programmes s'authentifient sans informations d'identification.

Vous devez vous connecter au cadre d'authentification et convaincre le système que vous êtes vraiment une source d'authentification. Voir les fonctions 'Lsa'.

Voir la source d'un serveur ssh open source pour avoir une idée de vos options ici.

Bien sûr, si vous avez vraiment des informations d'identification, vous pouvez être branché sur le framework de manière légitime. Si l'autre extrémité de la connexion est une boîte Windows, vous pouvez transférer les informations d'identification via Kerberos et utiliser l'API SSPI. Je recommande this book.