Probleme de 'double-hop' avec WebServices et AD 2000
2 réponses
Mestayer
Bonjour,
Nous avons développé une application Web qui accède à des WebServices
permettant d'effectuer certaines actions sur l'annuaire.
Le serveur Web utilise l'impersonation et appel le WebService sous
l'identité de la personne qui se connecte. Le WebService est placé sur une
machine qui appartient au Domaine AD. Hélas, lorsque le WebService tente
d'appeler un DirectorySearcher, l'identité utilisé est l'utilisateur anonyme
au lieu de l'identité emprunté (puisque la machine n'est pas domain
controller).
Existe-t-il un autre solution que ces dernières :
-Utiliser un compte Générique du domaine pour l'exécution du WebService et
désactiver l'emprunt d'identité le temps du travail avec AD (Non réalisable
CAR nécessité de travailler avec l'AD en utilisant les droits spécifiques de
l'utilisateur connecté)
-Utiliser les credentials de la personne dans le constructeur de l'entité
DirectoryEntry (Ne marche pas avec AD2000 -> Unknown Authentication Mechanism)
-Passer en OpenLdap sous Linux avec un serveur Apache faisant tourner Mono
?
Cordialement,
F.Mestayer
Ingénieur de développement et Webmaster Fiducial.fr
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Lionel LASKE
As-tu jeté un oeil sur http://support.microsoft.com/default.aspx?scid=kb;en-us;329986 ?
Lionel.
"Mestayer" a écrit dans le message de news:
Bonjour,
Nous avons développé une application Web qui accède à des WebServices permettant d'effectuer certaines actions sur l'annuaire.
Le serveur Web utilise l'impersonation et appel le WebService sous l'identité de la personne qui se connecte. Le WebService est placé sur une machine qui appartient au Domaine AD. Hélas, lorsque le WebService tente d'appeler un DirectorySearcher, l'identité utilisé est l'utilisateur anonyme au lieu de l'identité emprunté (puisque la machine n'est pas domain controller).
Existe-t-il un autre solution que ces dernières : -Utiliser un compte Générique du domaine pour l'exécution du WebService et désactiver l'emprunt d'identité le temps du travail avec AD (Non réalisable CAR nécessité de travailler avec l'AD en utilisant les droits spécifiques de l'utilisateur connecté) -Utiliser les credentials de la personne dans le constructeur de l'entité DirectoryEntry (Ne marche pas avec AD2000 -> Unknown Authentication Mechanism) -Passer en OpenLdap sous Linux avec un serveur Apache faisant tourner Mono
?
Cordialement, F.Mestayer Ingénieur de développement et Webmaster Fiducial.fr
As-tu jeté un oeil sur
http://support.microsoft.com/default.aspx?scid=kb;en-us;329986 ?
Lionel.
"Mestayer" <Mestayer@discussions.microsoft.com> a écrit dans le message de
news: F75FAC1B-7AAA-469A-90C0-A34F9C666CCE@microsoft.com...
Bonjour,
Nous avons développé une application Web qui accède à des WebServices
permettant d'effectuer certaines actions sur l'annuaire.
Le serveur Web utilise l'impersonation et appel le WebService sous
l'identité de la personne qui se connecte. Le WebService est placé sur une
machine qui appartient au Domaine AD. Hélas, lorsque le WebService tente
d'appeler un DirectorySearcher, l'identité utilisé est l'utilisateur
anonyme
au lieu de l'identité emprunté (puisque la machine n'est pas domain
controller).
Existe-t-il un autre solution que ces dernières :
-Utiliser un compte Générique du domaine pour l'exécution du WebService et
désactiver l'emprunt d'identité le temps du travail avec AD (Non
réalisable
CAR nécessité de travailler avec l'AD en utilisant les droits spécifiques
de
l'utilisateur connecté)
-Utiliser les credentials de la personne dans le constructeur de l'entité
DirectoryEntry (Ne marche pas avec AD2000 -> Unknown Authentication
Mechanism)
-Passer en OpenLdap sous Linux avec un serveur Apache faisant tourner Mono
?
Cordialement,
F.Mestayer
Ingénieur de développement et Webmaster Fiducial.fr
As-tu jeté un oeil sur http://support.microsoft.com/default.aspx?scid=kb;en-us;329986 ?
Lionel.
"Mestayer" a écrit dans le message de news:
Bonjour,
Nous avons développé une application Web qui accède à des WebServices permettant d'effectuer certaines actions sur l'annuaire.
Le serveur Web utilise l'impersonation et appel le WebService sous l'identité de la personne qui se connecte. Le WebService est placé sur une machine qui appartient au Domaine AD. Hélas, lorsque le WebService tente d'appeler un DirectorySearcher, l'identité utilisé est l'utilisateur anonyme au lieu de l'identité emprunté (puisque la machine n'est pas domain controller).
Existe-t-il un autre solution que ces dernières : -Utiliser un compte Générique du domaine pour l'exécution du WebService et désactiver l'emprunt d'identité le temps du travail avec AD (Non réalisable CAR nécessité de travailler avec l'AD en utilisant les droits spécifiques de l'utilisateur connecté) -Utiliser les credentials de la personne dans le constructeur de l'entité DirectoryEntry (Ne marche pas avec AD2000 -> Unknown Authentication Mechanism) -Passer en OpenLdap sous Linux avec un serveur Apache faisant tourner Mono
?
Cordialement, F.Mestayer Ingénieur de développement et Webmaster Fiducial.fr
Mestayer
Merci beaucoup pour ce lien :)
La solution retenue est d'utiliser une authentification de base (mdp en clair) au niveau du WebService et de crypter en SSL les échanges entre ce dernier et l'application web
Cordialement, F.Mestayer
Merci beaucoup pour ce lien :)
La solution retenue est d'utiliser une authentification de base (mdp en
clair) au niveau du WebService et de crypter en SSL les échanges entre ce
dernier et l'application web
La solution retenue est d'utiliser une authentification de base (mdp en clair) au niveau du WebService et de crypter en SSL les échanges entre ce dernier et l'application web