DCOM Sicherheitsproblem
Rudolf Meier
DCOM und Sicherheit... immer wieder ein witziges Problem... folgende zwei
Fragen habe ich
a) irgendwie hab ich das Gef�hl, dass ein Benutzer, der eine DCOM-Komponente
auf einem Server ansteuern will, in der Gruppe "Distributed COM Benutzer"
sein muss... wer da standardm�ssig drin ist weiss ich aber nicht
(Dom�nen-Admin?, Dom�nen-Benutzer? ... ganz ehrlich glaube ich, da ist
niemand drin) ... und dann habe ich noch den Verdacht, dass die
DCOM-Berechtigungen (dcomcnfg -> Arbeitsplatz -> Eigenschaften, Limmits und
Standardrechte) f�r alle nicht in der Gruppe befindlichen Leute absolut f�r
die Katz sind... stimmt das? ... ich kann's nicht wirklich beweisen... ist
nur eine Vermutung...
b) ... Callback (sei es, weil ich einen Pointer �bermittle oder ganz
Standardm�ssig mit IConnectionPoint oder wie das Zeug heisst) ... das klappt
ja nicht... (E_ACCESSDENIED) weil... das ist die Frage... ich ruf einen
Server auf und melde mich speziell an an dem (wir sind nicht in einer Dom�ne
oder nicht in der gleichen) ... und jetzt will ich dem einen Callback
erm�glichen... die Frage ist wie... impersonation geht wohl nicht (weil ich
mich ja mit anderen Daten anmelden musste und dieser Benutzer auf dem Client
ja nicht existiert) ... und... Anonymous kriege ich nicht zum laufen...
wieso weiss ich nicht... also was kann man tun? ... kann man �berhaupt was
tun? ... m�sste ich dem Server ein Benutzername und Kennwort �bermitteln und
da irgendwie retour-Anmelden? ... aber auch das w�re mir nicht klar wie ich
das anstellen soll...
also bevor ich ein eigenes DCOM-Protokoll schreibe, hoffe ich doch sehr,
dass es f�r meine Probleme eine L�sung gibt...
Rudolf