dotNETportal.cz

Pokud ověřuji přístup k aplikaci pomocí uživatelů v doméně (Windows authentization), při kliknutí na odhlásit (v komponentě LoginView - VS 2010), uživatel se neodhláší (ani po vypnutí aplikace). Našel jsem na webu, že by to mohlo jít pomocí javy.

Ovšem v IE to patrně bude fungovat, ve FF asi taky a v ostatních prohlížečích to bude počítám 50 na 50.

Není známě nějaké řešení tohoto problému? Jde to nějak nastavit?

JAVA KÓD

---------

var agt=navigator.userAgent.toLowerCase();

if (agt.indexOf("msie") !== -1) {

document.execCommand("ClearAuthenticationCache","false");

}

//window.crypto is defined in Chrome, but it has no logout function

else if (window.crypto && typeof window.crypto.logout === "function"){

window.crypto.logout();

}

else{

window.location = "/page/to/instruct/the/user/to/close/the/browser";

}

Vzhledem k tomu, že i Microsoft řeší odhlášení (Windows Authentication) vypnutím a zapnutím prohlížeče, tak bych se vsadil, že najít nějaké univerzální řešení bude trvat velmi dlouho.

Počítejte s tím, že ten javascriptový kód bude funkční přinejlepším jen v IE.

Dejme tomu, že zapomenu na odhlášení. Při windows authentication se uživatelé logují automaticky. Jsem přihlášený v síti ve win pod doménu. Pokud budu počítač používat jen já, nemám problém, ale v okamžiku, kdy v síti existují mimo osobních i sdílené uživatelské profily (1 účet v active directory používá více uživatelů nebo lépe řečeno "ten, který právě sedí u počítače"), pak mám v zabezpečení aplikace celkem velký problém. Uživatel aplikace se pak nepřehlásí v aplikaci bez přepřihlášení do windows. Dokáže někdo nebo něco přemluvit providera, aby se nelogoval automaticky, ale jen po dialogu a vyplnění jména a hesla k účtu v active directory? Dá se to nastavit pomocí kódu? Nebo IIS?

Druhá cesta je používat Forms authentication. Ovšem tyto jména a hesla zase nesvážu s AD a tudíž při pravidelné změně hesel budou mít uživatelé různá hesla do aplikace a active directory.

Obě řešení jsou v síti z bláta do louže.

Že by na to Microsoft nepamatoval?

Jedno řešení může být:

V .NETu najdete i ActiveDirectoryMembershipProvider pod namespacem System.Web.Security.ActiveDirectoryMembershipProvider.

Přes tento provider je možné spojit Form Authentication s Active Directory pouze místo SqlMembershipProvidera či dalších použijete tento.

Myslím,že security incident je spíše už samotné sdílení jednoho AD účtu více uživately. To,že to pak má negativní dopad na ostatní aplikace a systémy,je jen logické vyústění této situace. Pokud chcete řešit až následky na provni webapp,tak budete muset poupravit některé části anebo využít již nějaká hotová řešení. Můžete si samozřejmě napsat vlastního providera nebo upravit FormsAuthentication tak,aby finální autentizace probíhala proti AD - což není zas tak velký problém.