Benutzeridentifikationsattribute
Hinweis
Der Internetauthentifizierungsdienst (IAS) wurde ab Windows Server 2008 in Network Policy Server (NPS) umbenannt. Der Inhalt dieses Themas gilt sowohl für IAS als auch für NPS. Im gesamten Text wird NPS verwendet, um auf alle Versionen des Diensts zu verweisen, einschließlich der ursprünglich als IAS bezeichneten Versionen.
Die Identität des Benutzers, der die Authentifizierung anfordert, wird den NPS-Erweiterungs-DLLs in einer Reihe verschiedener Attribute bereitgestellt.
- ratUserName
- ratStrippedUserName
- ratFQUserName
Jedes Attribut stellt die Benutzeridentität in einem anderen Format bereit. Im Allgemeinen sollten Entwickler ratStrippedUserName verwenden. Die Verwendung der Attribute ratUserName und ratFQUserName ist spezialisierter.
Hinweis
Das User-Password-Attribut ratUserPassword wurde bereits entschlüsselt, wenn es an die Erweiterungs-DLL gesendet wird, und ist in dieser Form verwendbar.
ratUserName
Das attribut ratUserName enthält den Namen, der tatsächlich "über das Kabel" gesendet wurde. NPS hat den Inhalt dieses Attributs in keiner Weise verarbeitet oder überprüft. Dieses Attribut ist möglicherweise überhaupt nicht verfügbar, da der Benutzer möglicherweise über eine Methode wie die Aufrufer-ID identifiziert wurde.
Wenn dieses Attribut bei Verwendung von RadiusExtensionProcess/Ex verfügbar ist, ist es nur am Dll-Plug-In-Point der Authentifizierungserweiterung verfügbar. Das attribut ratUserName ist am DLL-Plug-In-Point der Autorisierungserweiterung nicht verfügbar, da in Autorisierungserweiterungs-DLLs die RadiusExtensionProcess/Ex-Funktionen nur die "outbound"-Attribute sehen.
Wenn Dieses Attribut bei Verwendung von RadiusExtensionProcess2 verfügbar ist, ist es sowohl am Plug-In-Point für die Authentifizierungserweiterungs-DLL als auch am Dll-Plug-In-Punkt autorisierungserweiterung verfügbar.
ratStrippedUserName
RatStrippedUserName ist die Identität des Benutzers nach dem "Bereichsstripping". Weitere Informationen zum Bereichstripping finden Sie im Thema Bereichsnamen auf http://technet2.microsoft.com.
Dieses Attribut kann am Dll-Plug-In-Point der Authentifizierungserweiterung, am DLL-Plug-In-Point der Autorisierungserweiterung oder an beidem vorhanden sein. Dieses Attribut hat garantiert das Format:
Domäne**\**Nutzername
Wobei Domäne der NetBIOS-Domänenname ist.
ratFQUserName
Das attribut ratFQUserName ist der "vollqualifizierte" Benutzername.
Dieses Attribut kann im Dll-Plug-In-Point für die Authentifizierungserweiterung, im DLL-Plug-In-Punkt autorisierungserweiterung oder in beidem vorhanden sein. Das Format des Attributs kann sich jedoch zwischen den beiden Plug-In-Punkten unterscheiden. Am Plug-In-Punkt der Authentifizierungserweiterungs-DLL hat dieses Attribut immer folgendes Format:
Domäne**\**Nutzername
Das Format des Attributs ratFQUserName am DLL-Plug-In-Point der Autorisierungserweiterung hängt davon ab, ob es sich bei dem Benutzer um einen Active Directory-Benutzer handelt.
Wenn der Benutzer ein lokaler Benutzer ist , hat ratFQUserName das gleiche Format wie für den Authentifizierungserweiterungs-DLL-Plug-In-Punkt:
Domäne**\**Nutzername
.
Wenn der Benutzer ein Active Directory-Benutzer ist, kann ratFQUserName den Namen des Benutzers im "kanonischen" Format enthalten. Kanonisches Format ist das Format, das vom Active Directory verwendet wird, um den Benutzer zu identifizieren. Es ist der Pfad aus dem Stamm der Active Directory-Struktur und enthält die Organisationseinheit (OE) des Benutzers.
Zugehörige Themen