1

Тема: VB.NET: Авторизация OpenVPN через учётку Windows

Есть в природе OpenVPN, умеющий при авторизации пользователей запускать скрипт для дополнительной авторизации. Под линуксы скриптов навалом, под Windows  нашел одну портянку на vbs, которая к тому же не заработала на моей ОС(так как AD там нет и быть не может).
Как оказалось, всё гораздо проще можно реализовать воспользовавшись .NET. Под данную реализацию потребуется версия 3.5(и выше - требуется наличие System.DirectoryServices.AccountManagement.PrincipalContext).

Для тех кто не сталкивался с OpenVPN в кратце поясню. При авторизации пользователя(помимо сертификатов и пр.) можно запросить у пользователя логин-пароль и проверить его в системных учётках ОС. Для этого в конфиге указывается скрипт, которому при запуске в виде параметра передаётся имя файла. В файле(временный, на время авторизации) содержится всего две строки - логин и пароль. В результате работы скрипта должен вернуться код завершения 0(успешная авторизация) или 1(не удалось авторизоваться).

Протестировано на:

  • Windows XP Pro SP3, VS2008(.NET 3.5)

  • Windows 2003 Server Web Edition, VB.NET 2010 Express(.Net 4.0 - на сайте MS 2008-ую эспресс студию уже не нашел)

Приложение консольное. В проекте нужно добавить ссылку на System.DirectoryServices.AccountManagement.


Module WinAuth
    Dim logfile As System.IO.StreamWriter
    Dim pwdfile As System.IO.StreamReader
    Function Main(ByVal cmdArgs() As String) As Integer
        Dim instance As System.DirectoryServices.AccountManagement.PrincipalContext
        Dim usrName As String
        Dim usrPass As String
        Dim returnValue As Boolean
        logfile = My.Computer.FileSystem.OpenTextFileWriter("winauth.log", True, _
                                                    System.Text.Encoding.GetEncoding(1251))
        logfile.AutoFlush = True
        If cmdArgs.Count <> 1 Then
            Echo("Wrong parametrs.")
            Return 1
        Else
            Try
                pwdfile = My.Computer.FileSystem.OpenTextFileReader(cmdArgs(0).ToString, _
                                                    System.Text.Encoding.GetEncoding(1251))
            Catch ex As Exception
                Echo(ex.Message.ToString)
                Echo("pwdfile not found.")
            End Try

            Try
                usrName = pwdfile.ReadLine.ToString
            Catch ex As Exception
                Echo(ex.Message.ToString)
                Echo("No data in pwdfile.")
                Return 1
            End Try

            Try
                usrPass = pwdfile.ReadLine.ToString
            Catch ex As Exception
                Echo(ex.Message.ToString)
                Echo("No password in pwdfile.")
                Return 1
            End Try

        End If
        pwdfile.Close()
        instance = New System.DirectoryServices.AccountManagement.PrincipalContext( _
            System.DirectoryServices.AccountManagement.ContextType.Machine, _
            System.Environment.MachineName.ToString)
        Try
            returnValue = instance.ValidateCredentials(usrName, usrPass)
        Catch ex As Exception
            Echo(ex.Message.ToString)
            Return 1
            'Error Codes list for Microsoft technologies:
            'http://www.symantec.com/business/support/index?page=content&id=TECH12638
            '"HRESULT: 0x80070533" == "Logon failure: account currently disabled."
        End Try

        Select Case returnValue
            Case False
                Echo("Logon failure: username or password incorrect.")
                Return 1
            Case True
                Echo("Logon is successful.")
                Return 0
            Case Else
                Echo("Unknown Error?")
                Return 1
        End Select
    End Function
    Sub Echo(ByVal text)
        Console.WriteLine(text)
        Debug.Print(text)
        logfile.WriteLine(Now() & ":> " & text)
    End Sub
End Module

На всякий случай прокоментирую один момент:

        instance = New System.DirectoryServices.AccountManagement.PrincipalContext( _
            System.DirectoryServices.AccountManagement.ContextType.Machine, _
            System.Environment.MachineName.ToString)

В качестве второго параметра доступно:

  • System.DirectoryServices.AccountManagement.ContextType.Machine

  • System.DirectoryServices.AccountManagement.ContextType.Domain

  • System.DirectoryServices.AccountManagement.ContextType.ApplicationDirectory

Вторым параметром идёт сервер для авторизации. На Win2003WE сработало "localhost", на WinXP по какой-то причине не прокатило - но работало по IP(127.0.0.1). Посмотрел чем богат дотнет, и поставил имя машины. Работает на обоих компьютерах.

Конечно, как минимум вывод сообщений лучше допилить под себя(или убрать совсем) - вариант выше в некоторой степени beta .

Надеюсь кому нибудь пригодится.

P.S. В найденном vbs-варианте так же проверялась принадлежность пользователя конкретной группе. В моём коде это не реализовано(так как пока такой задачи не стоит), но не думаю что в .NET с этим будут проблемы.

2 (изменено: greg zakharov, 2013-12-12 09:19:15)

Re: VB.NET: Авторизация OpenVPN через учётку Windows

Какбэ... а где vbs'ка, с которой началось повествование? Взглянуть любопытно.
Относительно кода. Собирать приложения .NET можно и без M$ V$ (vbc /nologo /t:exe /out:MyApp.exe /optimize+ /debug:pdbonly /r:... *.vb), а сам код мог бы выглядеть несколько компактней, если бы Вы использовали Imports. Впрочем, это мелочи. Если по существу, то для разбора аргументов было бы удобней сделать отдельный класс, а вот пароль - не хранить в текстовом файле в открытом виде.

3 (изменено: BeS Yara, 2013-12-12 09:23:57)

Re: VB.NET: Авторизация OpenVPN через учётку Windows

greg zakharov пишет:

Какбэ... а где vbs'ка, с которой началось повествование? Взглянуть любопытно.

Ссылка на код была в первом абзаце. Дублирую: https://sites.google.com/site/amigo4life2/openvpn
Мне кажется, там перемудрили - слишком много процедур(IMHO, необоснованно много), зачем-то INI-файл задействовали, хотя всё можно было указать в первых строках скрипта(там всего 4 параметра)... KISS отдыхает .

greg zakharov пишет:

Относительно кода. Собирать приложения .NET можно и без M$ V$ (csc /nologo /t:exe /out:MyApp.exe /optimize+ /debug:pdbonly /r:... source.cs), а сам код мог бы выглядеть несколько компактней, если бы Вы использовали Imports.

Собрать из консоли можно, но зачем? Всё равно отлаживать удобнее в студии, в особо запущенных случаях я и VBS в студию передаю для отдки .
Касательно сокращения - к VB.NET обращаюсь эпизодически, к коду могу вернуться через неделю, месяц, год. Мне проще будет вспомнить и разобраться по полным путям. А так, да - это сократило бы длины строк. Как минимум трёх из 67.

greg zakharov пишет:

Если по существу, то для разбора аргументов было бы удобней сделать отдельный класс, а вот пароль - не не хранить в текстовом файле в открытом виде.

Тут 67 строк кода(с учётом переносов), и разбор аргументов выполняется один раз. Не вижу смысла выносить это не то что в клас - даже в отдельную процедуру.

По поводу паролей. Мне тоже не нравится этот способ передачи паролей скрипту. Но тут вопрос к комьюнити OpenVPN - механизм передачи пароля скрипту не я придумал. Полагаю, через параметры не стали передавать из-за сложностей с используемыми в пароле символами.
С другой стороны, файл существует только в период от передачи его имени скрипту до возврата скриптом кода выхода. Ну и ACL никто не отменял, так же как и EFS(если решим шифроваться и от прочих админов сервера, но это уже параноя).

По документации ещё упоминается передача пары логин-пароль через переменные окружения, но что-то не взлетело - то ли под win не работает, то ли лыжи не едут. Долго разбираться не стал, остановился на файле и ограничении доступа к папке с ним. В моём случае админ один и терминального использования сервера не предполагается, так что и этого должно хватить с огромным запасом.

4

Re: VB.NET: Авторизация OpenVPN через учётку Windows

Прошу прощения, ссылку как-то упустил из виду (должно быть сказывается недосыпание).

BeS Yara пишет:

Собрать из консоли можно, но зачем? Всё равно отлаживать удобнее в студии, в особо запущенных случаях я и VBS в студию передаю для отдки .
Касательно сокращения - к VB.NET обращаюсь эпизодически, к коду могу вернуться через неделю, месяц, год. Мне проще будет вспомнить и разобраться по полным путям.

У каждого свое представление об удобстве, и если Вам удобней использовать полные имена, то так тому и быть. А VB.NET лично я предпочитаю C# и IL, ровно как и V$ - Far и mdbg.

Bes Yara пишет:

Мне тоже не нравится этот способ передачи паролей скрипту.

Это уже вопрос касательно выдумки, а последняя приходит всегда неожиданно.

Bes Yara пишет:

Ну и ACL никто не отменял, так же как и EFS...

EFS - то еще зло. Но привести аргументы в пользу этого утверждения не позволяют правила форума (какбы намек на нечестивый код).
Вопрос напоследок: будет ли Ваш код в коллекции?

5

Re: VB.NET: Авторизация OpenVPN через учётку Windows

greg zakharov пишет:

Вопрос напоследок: будет ли Ваш код в коллекции?

Была мысль сразу опубликовать туда, но подумал что могут появиться вопросы и дополнения, и решил для начала поместить в обсуждения.
Хорошо бы дополнить код проверкой на вхождения пользователя в группы, возможно использованием конфигурационных файлов(ini или xml). Это придало бы некоторую законченность решению, тогда и в коллекцию можно .

В логгировании в системные журналы особого смысла не вижу, лог-файла достаточно.

P.S. можно ещё добавить действия при неоднократных неудачных попытках авторизации(например, блокировать IP через netsh - для RDP такой скриптик делал недавно), но это уже совсем специфично. Наиболее универсальный набор - проверка пароля, проверка группы, чтение конфига(здесь не скрипт, вполне востребовано).

6

Re: VB.NET: Авторизация OpenVPN через учётку Windows

Немного расширил решение. Итого умеет:
1. Проверять пару логин-пароль.
2. Проверять нахождение пользователя в группе(непосредственно, без проверки вхождения через членство в других группах).
3. Работает для локальной авторизации и для домена(про домен - вроде работает, но мой комп не в домене и тест нельзя назвать полноценным).
4. Пишет лог(в файл).
5. Настройки берёт из INI-файла.

Пути сборок не сокращал .

Основной модуль:


Module winauth
    Dim logfile As System.IO.StreamWriter
    Dim pwdfile As System.IO.StreamReader
    Dim INI As New Class_ini_ops
    Function Main(ByVal cmdArgs() As String) As Integer
        Dim oContext As System.DirectoryServices.AccountManagement.PrincipalContext
        Dim oGroupUsers As System.DirectoryServices.AccountManagement.GroupPrincipal
        Dim usrName As String
        Dim usrPass As String
        Dim returnValue As Boolean

        Dim ini_file = System.Environment.CurrentDirectory.ToString & "\" & "config.ini"
        Dim ini_section = "Configuration"

        'chk ini file
        If INI.GetSectionParams(ini_file, ini_section) Is Nothing Then
            Echo("Incorrect INI format.")
            Return 1
        End If

        Dim GroupName As String
        GroupName = INI.GetParamValue(ini_file, ini_section, "GroupName")
        If GroupName Is Nothing Then
            Echo("User target group not set in ini-file.")
            Return 1
        End If

        'имя(и путь) файла вынести в конфиг
        logfile = My.Computer.FileSystem.OpenTextFileWriter("winauth.log", True, _
                                                    System.Text.Encoding.GetEncoding(1251))
        logfile.AutoFlush = True

        'check args
        If cmdArgs.Count <> 1 Then
            Echo("Wrong parametrs.")
            Return 1
        Else
            Try
                pwdfile = My.Computer.FileSystem.OpenTextFileReader(cmdArgs(0).ToString, _
                                                    System.Text.Encoding.GetEncoding(1251))
            Catch ex As Exception
                Echo(ex.Message.ToString)
                Echo("pwdfile not found.")
            End Try

            Try
                usrName = pwdfile.ReadLine.ToString
            Catch ex As Exception
                Echo(ex.Message.ToString)
                Echo("No data in pwdfile.")
                Return 1
            End Try

            Try
                usrPass = pwdfile.ReadLine.ToString
            Catch ex As Exception
                Echo(ex.Message.ToString)
                Echo("No password in pwdfile.")
                Return 1
            End Try
        End If
        pwdfile.Close()

        'Get Auth context from INI, default is Local
        Dim iniContext
        iniContext = INI.GetParamValue(ini_file, ini_section, "Context")
        If iniContext Is Nothing Then
            iniContext = "Local"
        End If

        ' Set PrincipalContext
        Dim DN As String = ""
        Dim PDC As String = ""
        Select Case iniContext
            Case "Local"
                oContext = New System.DirectoryServices.AccountManagement.PrincipalContext( _
                            System.DirectoryServices.AccountManagement.ContextType.Machine, _
                            System.Environment.MachineName.ToString)
            Case "Domain"
                PDC = INI.GetParamValue(ini_file, ini_section, "PDC")
                If PDC Is Nothing Then
                    Echo("PDC not set in ini-file.")
                    Return 1
                End If
                DN = INI.GetParamValue(ini_file, ini_section, "DN")
                If DN Is Nothing Then
                    Echo("DN not set in ini-file.")
                    Return 1
                End If
                oContext = New System.DirectoryServices.AccountManagement.PrincipalContext( _
                                System.DirectoryServices.AccountManagement.ContextType.Domain, _
                                PDC, DN)
            Case Else
                Echo("Context not set in ini-file or incorrect.")
                Return 1
        End Select

        'Check that the user is a member of the group
        oGroupUsers = System.DirectoryServices.AccountManagement.GroupPrincipal.FindByIdentity(oContext, _
                                DirectoryServices.AccountManagement.IdentityType.Name, _
                                GroupName)
        Dim oUsers As System.DirectoryServices.AccountManagement.PrincipalSearchResult(Of  _
                                        System.DirectoryServices.AccountManagement.Principal)
        oUsers = Nothing
        If oGroupUsers Is Nothing Then
            Echo("No such group [" & GroupName & "] found.")
            Return 1
        Else
            oUsers = oGroupUsers.GetMembers
        End If

        If oUsers.Contains(System.DirectoryServices.AccountManagement.Principal.FindByIdentity(oContext, usrName)) Then
            Debug.Print("caught!")
        Else
            Debug.Print("shot at milk...")
            Select Case iniContext
                Case "Local"
                    Echo("Group check failure: the user is not a member of [" & GroupName & "].")
                Case "Domain"
                    Echo("Group check failure: the user is not a member of [" & GroupName & "@{" & DN & "}].")
            End Select
            Return 1
        End If

        Try
            returnValue = oContext.ValidateCredentials(usrName, usrPass)
        Catch ex As Exception
            Echo(ex.Message.ToString)
            Return 1
            'Error Codes list for Microsoft technologies:
            'http://www.symantec.com/business/support/index?page=content&id=TECH12638
            '"HRESULT: 0x80070533" == "Logon failure: account currently disabled."
        End Try

        Select Case returnValue
            Case False
                Echo("Logon failure: username or password incorrect.")
                Return 1
            Case True
                Echo("Logon is successful.")
                Return 0
            Case Else
                Echo("Unknown Error?")
                Return 1
        End Select
    End Function
    Sub Echo(ByVal text)
        Console.WriteLine(text)
        Debug.Print(text)
        logfile.WriteLine(Now() & ":> " & text)
    End Sub
End Module

Клас для работы с INI:


Public Class Class_ini_ops
    'изначально была копипаста отсюда: http://www.cyberforum.ru/vb-net/thread382768.html
#Region "API Calls"
    Private Declare Unicode Function WritePrivateProfileString Lib "kernel32" _
    Alias "WritePrivateProfileStringW" (ByVal lpApplicationName As String, _
    ByVal lpKeyName As String, ByVal lpString As String, _
    ByVal lpFileName As String) As Integer

    Private Declare Unicode Function GetPrivateProfileString Lib "kernel32" _
    Alias "GetPrivateProfileStringW" (ByVal lpApplicationName As String, _
    ByVal lpKeyName As String, ByVal lpDefault As String, _
    ByVal lpReturnedString As String, ByVal nSize As Int32, _
    ByVal lpFileName As String) As Integer
#End Region
    ReadOnly CallBufferSize As Short = 4096
    Public Function GetSectionsList(ByVal INIfile As String) As Array
        Dim n As Integer
        Dim sData As String
        Dim sb As New System.Text.StringBuilder
        sData = sb.Insert(0, vbNullChar, CallBufferSize).ToString
        n = GetPrivateProfileString(vbNullString, vbNullString, vbNullString, sData, CallBufferSize, INIfile)
        If n > 0 Then
            GetSectionsList = sData.Substring(0, n - 1).Split(vbNullChar)
        Else
            GetSectionsList = Nothing
        End If
    End Function
    Public Function GetSectionParams(ByVal INIfile As String, ByVal SectionName As String) As Array
        Dim n As Integer
        Dim sData As String
        Dim sb As New System.Text.StringBuilder
        sData = sb.Insert(0, vbNullChar, CallBufferSize).ToString
        n = GetPrivateProfileString(SectionName, vbNullString, vbNullString, sData, CallBufferSize, INIfile)
        If n > 0 Then
            GetSectionParams = sData.Substring(0, n - 1).Split(vbNullChar)
        Else
            GetSectionParams = Nothing
        End If
    End Function
    Public Overloads Function GetParamValue(ByVal INIfile As String, ByVal SectionName As String, ByVal ParamName As String) As String
        Dim n As Integer
        Dim sData As String
        Dim sb As New System.Text.StringBuilder
        sData = sb.Insert(0, vbNullChar, CallBufferSize).ToString
        n = GetPrivateProfileString(SectionName, ParamName, vbNullString, sData, CallBufferSize, INIfile)
        If n > 0 Then
            GetParamValue = sData.Substring(0, n)
        Else
            GetParamValue = Nothing
        End If
    End Function
    Public Overloads Function GetParamValue(ByVal INIfile As String, ByVal SectionName As String, ByVal ParamName As String, _
                                            ByVal DefaultValue As String) As String
        Dim n As Integer
        Dim sData As String
        Dim sb As New System.Text.StringBuilder
        sData = sb.Insert(0, vbNullChar, CallBufferSize).ToString
        n = GetPrivateProfileString(SectionName, ParamName, DefaultValue, sData, CallBufferSize, INIfile)
        If n > 0 Then
            GetParamValue = sData.Substring(0, n)
        Else
            GetParamValue = Nothing
        End If
    End Function
    Public Function SetParamValue(ByVal INIfile As String, ByVal SectionName As String, ByVal ParamName As String, _
                                  ByVal ParamValue As String) As Boolean
        Call WritePrivateProfileString(SectionName, ParamName, ParamValue, INIfile)
        If ParamValue = GetParamValue(INIfile, SectionName, ParamName) Then
            SetParamValue = True
        Else
            SetParamValue = False
        End If
    End Function
End Class

Пример конфига(config.ini, ищется в папке в приложением):


[Configuration]
;set auth context
;Local - check local credentials(default)
;Domain -  check credentials in Domain
Context = Local

; Used only in Context = Domain
PDC = MyServer
DN = "DC=mydomain,DC=local"

;target user group
GroupName = "Операторы сервера"

Стоит ли что-то ещё доделать дабы иметь полноценную заготовку под универсальное использование(или не универсальное - с доработкой напильником под конкретные хотелки)?
Понятное дело, под каждую задачу подстраиваться перебор, но что-то более менее законченное хотелось бы в коллекцию пускать.