Active Directory и самописный сервер. Авторизация.

← →
DVM © (2008-10-17 12:38) [0]

Есть локальная сеть в которой поднята Active Directory, домен и все такое. Есть компьютер, входящий в домен, и на этом компьютере функционирует некий самописный сервер, к которому клиенты обращаются по TCP протоколу.

Вопрос 1.

Необходимо сделать так, чтобы к серверу могли подключиться только те пользователи, которые уже вошли в домен со своего компьютера, для не вошедших же в домен должно выдаваться приглашение для ввода логина/пароля.
В какую сторону копать? Понятно что MSDN, но чтобы там искать, надо хоть от чего то отталкиваться. Может есть какие примеры у кого?

Вопрос 2.

Возможно ли как описывать права пользователей по отношению к этому самописному серверу в самой Active Directory. Скажем, одному пользователю дать полный доступ к серверу, а другому только на чтение информации с него.
Тоже непонятно куда копать?

← →
clickmaker © (2008-10-17 12:48) [1]

> чтобы к серверу могли подключиться только те пользователи,
> которые уже вошли в домен

может, это: http://support.microsoft.com/kb/180548

> описывать права пользователей по отношению к этому самописному
> серверу в самой Active Directory

а как ты себе это представляешь? Active Directory ничего не знает об объектах этого самописного сервера, доступ к которым нужно разграничивать

← →
Сергей М. © (2008-10-17 12:49) [2]

> для не вошедших же в домен должно выдаваться приглашение
> для ввода логина/пароля

А смысл ?

Ведь проще и очевидней возвратить отказ а-ля "Отказ в обслуживании - сначала войдите в домен"

← →
DVM © (2008-10-17 13:22) [3]

> clickmaker © (17.10.08 12:48) [1]

> может, это: http://support.microsoft.com/kb/180548

Насколько я понял из этой статьи в ней рассматривается случай, когда проверяется возможность входа пользователя в заданный домен с определенным именем/паролем.

В моем же случае пароль мне неизвестен. Надо лишь определить, вошел ли обращающийся к серверу пользователь в домен. Я так понимаю, что определять это должен сервер, к которому пользователь обращается? Но по каким критериям сервер будет определять подлинность пользователя? Клиент значит должен передать на сервер какой то идентификатор очевидно (но не пароль/имя), а по этому идентификатору сервер сможет узнать у контроллера домена подлинность пользователя. Я правильно понимаю механизм?

> а как ты себе это представляешь? Active Directory ничего
> не знает об объектах этого самописного сервера, доступ к
> которым нужно разграничивать

Пока никак. Но что то мне подсказывает, что такая возможность есть.

> Сергей М. © (17.10.08 12:49) [2]

> А смысл ?
>
> Ведь проще и очевидней возвратить отказ а-ля "Отказ в обслуживании
> - сначала войдите в домен"

Да собственно так тоже подойдет. Но вот как на сервере узнать, что обращающийся к серверу пользователь вошел в домен. Допустим, сервер имеет свой протокол. Клиент пытается подключиться к серверу. Как клиент передаст серверу какой либо идентификатор? В протокол его пихать нельзя.
Если не передавать идентификатор, то в распоряжении сервера получается есть только IP адрес компьютера, с которого обратился клиент.

← →
clickmaker © (2008-10-17 13:59) [4]

> [3] DVM © (17.10.08 13:22)

тогда, может, это: http://www.osp.ru/win2000/2002/06/175565/

> тогда, может, это: http://www.osp.ru/win2000/2002/06/175565/

Да это именно то о чем я говорил, в AD можно добавлять свои объекты и назначать права доступа к ним для определенных пользователей. Жаль что в статье описывается создание таких объектов только стандартными средствами.
Спасибо за статью, хоть терминологию правильную буду использовать для поиска.

Но все же меня гораздо больше пока интересует вопрос как на сервере узнать, что обращающийся к серверу пользователь вошел в домен.

если не менять протокол тогда только на "тунельном" уровне... через протокол который подразумевает аутентификацию... аля Socksпрокси клиент или IPSec
Обрати внимание на IPSec - в среде Win 2K/2k3/XP может быть приемлемым решением

Active Directory и самописный сервер. Авторизация. Найти похожие ветки