针对Active Directory进行身份验证的Web服务的安全密码解决方案?

时间:2009-04-08 19:46:15

标签: c# web-services authentication active-directory

我正在修改的应用程序有一个Web服务,该Web方法上的一个Web方法用于根据活动目录对用户进行身份验证。因此,AuthenticateUser Web方法调用的当前代码如下所示:

string domainAndUsername = aDomain + @"\\" + username;
string ldsPath = buildLdsPath(searchBase);
DirectoryEntry entry = new DirectoryEntry(ldsPath, domainAndUsername, 
    password);

try
{
    //Bind to the native AdsObject to force authentication.
    object obj = entry.NativeObject;

    DirectorySearcher search = new DirectorySearcher(entry);

    search.Filter = "(sAMAccountName=" + username + ")";
    search.PropertiesToLoad.Add("cn");
    SearchResult result = search.FindOne();

    // more code to validate the result, etc...
}

当我开始查看此代码时,首先担心的是Web方法的参数如下所示:

[WebMethod]
public ResultObj AddRole(string roleToAdd, string username, string password)
{
    // code that calls above Authentication fragment...
}

因此,当向service.asmx页面发出请求时,当前的Web服务需要一个密码字符串,大概是通过网络以明文发送的XML。

之前有没有人处理过这类问题?是否有我可以使用的备用Active Directory身份验证机制,以避免必须传入纯文本密码?我自己想出的最佳选择是使用加密密码调用WebMethod,并让另一方的代码解密它。但是,我更喜欢更好的解决方案 - 例如:有没有办法使用单向哈希而不是密码来搜索DirectoryEntry?

修改

其他详细信息:到目前为止,我还没有考虑使用SSL,因为这是我们公司内部的工具,所以看起来有点矫枉过正,而且可能会出现问题(它会在公司内部网,而不是外部可见的)。我甚至担心发送纯文本密码的安全性的唯一原因是,这些天即使在公司内部网上也存在不断增加的(可能是密码嗅探)恶意软件。

5 个答案:

答案 0 :(得分:4)

如果您有公钥/私钥组合,则客户端可以使用公钥加密,并使用私钥解密。

然而,这对客户来说太过分了,而不是一种非常“网络方法”的方式。

由于您要将用户名和密码作为参数发送,因此您应该使用传输安全性,基本上是HTTPS,这要求您从受信任的证书颁发机构获得公钥/私钥组合。

应该注意,您的SSL加密频道与外部网站的关联不正确。想要加密频道的目的是防止中间人攻击,就像你在这里试图做的那样。

您可以使用自行颁发的证书,但这需要在将要调用您的Web方法的每台计算机上安装证书的公钥。从受信任的机构获得一个更容易。

答案 1 :(得分:1)

HTTPS(如上所述)是最简单的选择。或者,您可以让IIS通过Digest或NTLM处理身份验证。您的应用仍然可以制定授权规则。 NTLM是安全的,但它会伤害你的互操作。否则,AD确实提供了一些摘要式身份验证方法,但我没有使用它们测试过代码。

对于Server 2000域,可以选择“以可逆格式存储密码” - 这将允许域控制器计算密码的MD5哈希值,以与您呈现的MD5哈希值进行比较。 MS意识到这是一个安全问题,所以Server 2003实现了“高级”摘要式身份验证 - 它预先计算了哈希值。

LDAP登录应选择MD5 Digest作为身份验证类型,提供用户名,然后提供密码的MD5哈希值。普通的LDAP客户端可能会想要自己MD5你的密码,所以你必须自己覆盖或制作它们。

答案 2 :(得分:0)

我们将AD服务放在自己的网站上并获得SSL证书。问题解决了。

答案 3 :(得分:0)

我认为SSL,或者可能是IPSec,可能是您最好的解决方案。

答案 4 :(得分:0)

对于我们的特定情况,因为客户端和Web服务都在我们公司的Intranet上运行,可能对我们有用的解决方案是使用集成Windows NTLM身份验证在客户端上处理身份验证,然后只是让客户端向Web服务提供凭据。这是客户端代码:

public void AddRole(string roleName)
{
    webSvc.Credentials = CredentialCache.DefaultCredentials;
    // Invoke the WebMethod
    webSvc.AddRole(roleName);
}

现在,Web方法将如下所示:

[WebMethod]
public ResultObj AddRole(string roleToAdd)
{
    IIdentity identity = Thread.CurrentPrincipal.Identity;
    if (!identity.IsAuthenticated)
    {
        throw new UnauthorizedAccessException(
                ConfigurationManager.AppSettings["NotAuthorizedErrorMsg"]);
    }
    // Remaining code to add role....
}

同样,我必须强调这个解决方案可能只有在服务器信任客户端并且都与同一个Active Directory服务器通信时才有效。对于公共Web服务,给出的其他答案之一将是更好的解决方案。

有关详细信息,请参阅:

相关问题
最新问题