Beste mensen,
Ik heb een webapplicatie op een IIS6 draaien die windows auth heeft aanstaan.
De applicatie kan vervolgens uit de HttpContext.Current de ingelogde user halen.
Die username ziet er dan een beetje zo uit:
domein.local\BasieP
De webapp wil vervolgens weten in welke groepen ik zit, zodat hij kan bepalen welke dingen de app mij laat zien.
Dit deed ik altijd dmv een DirectorySearcher, waarbij ik een query deed op sAmAccountName
Echter nu is er bij ons in het bedrijf wat veranderd. Er is een trust gekomen tussen twee domeinen, namelijk ons hoofddomein (laten we zeggen domein.local) en het gekoppelde domein (kopdom.local)
Als nu een user vanuit kopdom.local naar de webapp gaat ziet IIS hem, en die vind dat hij nu ook in domein.local zit (dmv die trust)
Zodoende wordt de user automatisch doorgestuurd naar de webapplicatie.
De webapplicatie leest de username uit, en gaat met die gegevens in AD zoeken.
Echter is de usename nu niet meer
domein.local\BasieP
maar
kopdom.local\Bas
Nu gaat de applicatie dus kijken in AD, maar aangezien de gebruiker 'Bas' niet in de domein.local AD zit, gaat hij niets vinden.
Sterker nog, als ik dmv ADExplorer (van sysinternals) in de domein.local AD kijk, zie ik een CN=ForeignSecurityPrinciples, waarin (heb ik mij laten vertellen) de trusted domains staan.
Echter hebben alle items in die CN alleen maar rare tekenreeksen als naam, en alle properties van zo'n item ook niet helemaal de waarden die ik verwacht.
De property sAmAccountName bestaat niet eens.
Hoe moet ik nou zorgen dat mijn applicatie ook de AD groepen van de accounts uit kopdom.local gaat uitlezen ZONDER(!) dat de applicatie naar de AD van kopdom.local zelf gaat?
Dus hoe ga ik de groepen uitlezen VIA domein.local?
Kan dat uberhaupt?
Moet ik uberhaupt zelf verbinding maken naar AD?
Kan IIS dat niet voor mij doen?
Ik heb een webapplicatie op een IIS6 draaien die windows auth heeft aanstaan.
De applicatie kan vervolgens uit de HttpContext.Current de ingelogde user halen.
Die username ziet er dan een beetje zo uit:
domein.local\BasieP
De webapp wil vervolgens weten in welke groepen ik zit, zodat hij kan bepalen welke dingen de app mij laat zien.
Dit deed ik altijd dmv een DirectorySearcher, waarbij ik een query deed op sAmAccountName
Echter nu is er bij ons in het bedrijf wat veranderd. Er is een trust gekomen tussen twee domeinen, namelijk ons hoofddomein (laten we zeggen domein.local) en het gekoppelde domein (kopdom.local)
Als nu een user vanuit kopdom.local naar de webapp gaat ziet IIS hem, en die vind dat hij nu ook in domein.local zit (dmv die trust)
Zodoende wordt de user automatisch doorgestuurd naar de webapplicatie.
De webapplicatie leest de username uit, en gaat met die gegevens in AD zoeken.
Echter is de usename nu niet meer
domein.local\BasieP
maar
kopdom.local\Bas
Nu gaat de applicatie dus kijken in AD, maar aangezien de gebruiker 'Bas' niet in de domein.local AD zit, gaat hij niets vinden.
Sterker nog, als ik dmv ADExplorer (van sysinternals) in de domein.local AD kijk, zie ik een CN=ForeignSecurityPrinciples, waarin (heb ik mij laten vertellen) de trusted domains staan.
Echter hebben alle items in die CN alleen maar rare tekenreeksen als naam, en alle properties van zo'n item ook niet helemaal de waarden die ik verwacht.
De property sAmAccountName bestaat niet eens.
Hoe moet ik nou zorgen dat mijn applicatie ook de AD groepen van de accounts uit kopdom.local gaat uitlezen ZONDER(!) dat de applicatie naar de AD van kopdom.local zelf gaat?
Dus hoe ga ik de groepen uitlezen VIA domein.local?
Kan dat uberhaupt?
Moet ik uberhaupt zelf verbinding maken naar AD?
Kan IIS dat niet voor mij doen?
This message was sent on 100% recyclable electrons.