juin
2011
Un article de Philippe Vialatte
Petite colle, assez simple une fois qu’on a la réponse, mais comment faire pour tester si un utilisateur (non, pas l’utilisateur courant, ce serait trop simple) a des droits sur un répertoire en .NET.
Contexte, dans une application web, qui tourne avec un compte spécifique (donc, pas une authentification Windows, ce serait trop facile), je veux savoir si l’utilisateur actuel (…donc pas le compte courant) peut lire des documents qui se trouvent sur un share.
Il est d’abord nécessaire de retrouver le UserPrincipal de l’utilisateur sur lequel on veut faire le test
Pour cela, il nous faut un PrincipalContext (ligne 3)
Attention, cela va fonctionner car le compte utilisé pour faire tourner l’application est membre du domaine domain. Dans le cas contraire, il nous faudrait d’abord passer dans un contexte d’impersonnation
On va ensuite rechercher un UserPrincipal a partir du login (sans qualificatif de domaine) de l’utilisateur (ligne 4), ce qui vas nous permettre de récupérer les groupes de notre utilisateur (lignes 6 à 10).
Il nous faut ensuite récupérer les informations du path, de façon à retrouver les AuthorizationRules qui s’appliquent au répertoire, sous forme d’une liste de comptes NT (lignes 12 à 14).
Enfin, il n’y a plus qu’a tester si il existe une règle définissant que le compte de l’utilisateur possède bien les droits de lecture sur le répertoire.
1: public static bool UserCanReadDataInPath(string user, string domain, string path){
2:
3: var ctx = new PrincipalContext(ContextType.Domain,domain);
4: var usr = UserPrincipal.FindByIdentity(ctx, IdentityType.SamAccountName, user);
5:
6: List<string> groups = new List<string>();
7: foreach (GroupPrincipal g in usr.GetGroups())
8: {
9: groups.Add(g.SamAccountName);
10: }
11:
12: DirectoryInfo di = new DirectoryInfo(path);
13: DirectorySecurity acl = di.GetAccessControl(AccessControlSections.All);
14: AuthorizationRuleCollection rules = acl.GetAccessRules(true, true, typeof(NTAccount));
15:
16: foreach (AuthorizationRule rule in rules)
17: {
18: if (groups.Contains(rule.IdentityReference.Value.Split('\\')[1]))
19: if ((((FileSystemAccessRule)rule).FileSystemRights & FileSystemRights.ReadData)>0)
20: {
21: return true;
22: }
23: }
24:
25: return false;
26: }
NB: le contexte est un peu spécifique (d’ou certains choix qui pourraient ne pas marcher partout), mais ca m’a au moins permis de régler mon problème 
Articles récents
Archives
- janvier 2014
- septembre 2013
- août 2013
- mai 2013
- avril 2013
- janvier 2013
- août 2012
- juin 2012
- mai 2012
- avril 2012
- mars 2012
- novembre 2011
- septembre 2011
- août 2011
- juillet 2011
- juin 2011
- mai 2011
- avril 2011
- février 2011
- janvier 2011
- novembre 2010
- octobre 2010
- septembre 2010
- août 2010
- juillet 2010
- juin 2010
- mai 2010
- avril 2010
- mars 2010
- février 2010
- janvier 2010
- décembre 2009
- novembre 2009
- octobre 2009
- septembre 2009
- août 2009
- juillet 2009
- juin 2009
- mai 2009
- avril 2009
- mars 2009
- février 2009
- janvier 2009