我们需要根据所呈现的智能卡从LDAP目录中获取特定用户的信息。该应用程序已在AD用户帐户下运行,但使用该用户对LDAP的访问权限将无法充分访问特定用户数据。
我们偶然发现了LDAP API的一些部分,并且没有太多运气找到有关如何在没有用户名/密码的情况下进行LDAP绑定调用以及更具体地使用来自智能卡的auth的信息。某些MS LDAP似乎允许使用当前用户令牌。
我们提出的最好的方法是使用SC登录,然后冒充用户使用当前用户令牌创建ldap connecton。与此MDSN blog 的想法类似。
有更好的方法吗?
我们在模仿时遇到的问题是登录用户必须具有登录其他用户进行模拟的某些权限。此外,在假冒时我们需要限制其他交互,因此不希望以备用用户身份访问文件系统或注册表。