Hallo!

Wir haben eine Datenbank-Anwendung mit einer kleinen Benutzerverwaltung (Benutzername, Passwort, pro Benutzer ein paar anwendungsspezifische Rechte und Einstellungen. Weiters können Datensätze optional mit Benutzern verknüpft werden, so dass ein Benutzer wenn er will nur "seine" Daten sieht)

Nun möchten manche Kunden (meist Krankenhäuser) die Benutzer nicht bei uns und in ihrem Netzwerk einpflegen.
Soweit ich das verstehe ist oft ein Dummy-User an einem Rechner angemeldet. Wenn jetzt jemand unsere Software startet soll die SW optional einen Login-Dialog anzeigen. Dabei soll nicht der Anwendungskontext geändert werden, es geht hier primär um die Authentifizierung.

(Ein anderes Verhalten wäre wohl den aktuell benutzte Windows-User zu verwenden. Ich schätze das sollte recht einfach hinzukriegen sein, also konzentriere ich mich mal auf den komplizierteren Fall)

Ich hab mal kurz gegoogelt, da fliegen einem die Begriffe "Active Directory", "Kerberos", "LDAP" etc. nur so um die Ohren - hab davon leider keinen Schimmer davon.

Kann mir jemand mal einen Tip geben?

Und dann hab ich noch eine kleine Spezialfrage: In der alten (recht simpel gestrickten) Version der Software werden für jeden Benutzer individuelle Einstellungen in einer Datenbank abgelegt. Gesetzt den Fall man hat da eine Windows-User-Verifikation, dann könnte natürlich schauen ob ein Benutzer mit dem Namen in der Datenbank schon existiert und wenn nicht den Benutzer dort anlegen.

Ist das ein gangbarer Weg oder ist das aus irgendeinem Grund BÖSE? Und kann es sein, dass ein User seinen Login-Namen ändert so dass der User plötzlich für meine App wie ein neuer User aussieht?

Und zu guter Letzt: Ich schätze Benutzer werden in Gruppen organisiert. Man müsst also bei der Authentifizierung abfragen können ob der Benutzer xxx mit Passwort yyy Mitglied der Gruppe zzz ist. Nur: Wie das alles?

Vielen vielen Dank!
Ralf

Du kannst es mit LogonUser versuchen und evtl mit dem programm ifmember die gruppenzugehörigkeit feststellen
Bei LogonUser das Token einfach wieder schließen
Quelle:http://support.microsoft.com/kb/180548 (auf englisch lesen, da die deutsche übersetzung mies ist)

Einer für alle, alle für einen.
Und Datenklau und Datenmanipulation gibt es ja nur bei der US-Regierung!

Davon kannst du aber verschärft ausgehen, ich habe z.B. 4 Identitäten, je nachdem was ich so treiben will.

Das wäre sinnvoll, aber es kommt darauf an ob diese Gruppen Resourcen oder Funktions-orientiert definiert werden.
Und aus mir unverständlichen Gründen wehren sich viele Benutzer dagegen, in Gruppen "gestopft" zu werden. Aber wenn ich mich mich richtig erinnere, stellt sich ein Benutzer automatisch auch als Gruppenmitglied vor. Du mußt also nur Fragen ist der Benutzer Gruppenmitglied. Eine aufwendige Suche entfällt.

Aber wenn eh nur ein Benutzer sich einloggt (wie wäre es mit SA?), dann ist es doch eh einerlei?

Gruß
K-H

Ich würde ebenfalls mit LogonUser arbeiten. anstelle den Benutzernamen dann weiter zu verwenden würde ich lieber die UserID verwenden um umbenennen etc. mit abzudecken.

so villeicht: http://www.delphi-forum.de/viewtopic...highlight=sspi

Du meinst die SID?

Gruß
K-H

Um das Umfeld mal zu simulieren wollt ich schnell so ein Mini-Netzwerk aufbauen (mit virtuellen Maschinen versteht sich).

Kann man ein "normales" WinXP prof. zu einem Domänenkontroller machen (ich schätze sowas brauch ich als Server, oder?)

Ich hab mal angefangen Windows Server 2008 runterzuladen (http://www.microsoft.com/downloads/d...7-32212b520f50)
wenn das simpler ginge, dann wär ich natürlich auch nicht böse.

Danke,
Ralf

Ist ja ohnehin der Fall. Eben nur ohne explizite Abfrage in dem Fall.

LDAP ist eine Untermenge der seit Windows 2000 (Server) unterstützten ADS (Active Directory Services).

Stell dir das Active Directory als eine Datenbank mit diversen angeschlossenen externen Elementen (Computer, Code) vor. Du kannst dort auch Daten speichern und bspw. über Zugehörigkeit zu einer OU (Organizational Unit) Regeln festlegen. Und das ist definitiv jeglicher selbstgebastelten Lösung vorzuziehen, wenn ADS/LDAP im Zielnetzwerk benutzt wird. Andere Verzeichnisdienste ala Novell bieten sicher auch Möglichkeiten ... aber die kenne ich nicht gut genug.

Zu Kerberos habe ich keine Ahnung. Habe ich noch nie richtig verstanden.

Nur wenn du nach dem Namen gehst. Du solltest entweder die SID oder die RID (letzte Ziffernfolge in einer SID) nehmen.

Geht sowohl mit ADS/LDAP als auch mit normalen Windowsmitteln (NT-Plattform).

Für ADS braucht's eine Serverversion. Für nur LDAP gibt es verschiedene andere Lösungen (inklusive Linux).

Für XP gab es eine Art abgespeckten Verzeichnisdienst von MS, der aber im Prinzip mit ADS nicht wirklich vergleichbar ist, sondern eher mit LDAP.

Ok, verstehe. Ich suche eine Lösung mit der ich mit geringem Aufwand eine möglichst grosse Kundenzahl versorgen kann. Da klingt LDAP also nicht schlecht.

Ich krieg da einen irre langen String, z.B. S-1-5-21-3926681305-3518172317-3193622278-1107
Ist da nun die "1107" die eindeutige Benutzerkennung?

Und noch eine Kleinigkeit:
Wenn ich LogonUser auf einem Rechner ausführe wo der Benutzer sich an einer Domäne angemeldet hat dann läuft alles perfekt.
Mach ich das bei mit auf meinem Entwicklungsrechner (lokaler Benutzer) und gebe den korrekten Usernamen/Passwort an, dann liefert LogonUser (mit LOGON32_LOGON_INTERACTIVE, oder?) True ganz egal ob ich die Domäne leer lasse oder eine falsche Angebe.
Gebe ich eine falsche Domäne an, dann liefert LookupAccountNameW "Der RPC-Server ist nicht verfügbar." als Fehler. Nix grosses, ist mir nur aufgefallen.

RID == relative ID

Eindeutig ja, aber nur auf diesem Rechner. Nur der komplette irre lange String ist eineindeutig und sollte dies auch global sein (es handelt sich im Prinzip um eine GUID), wobei der Teil am Anfang den Rechner identifiziert. Bei Domänenkonten wäre dies die Domäne, nicht der lokale Rechner.