Benutzeridentifikationsattribute
Anmerkung
Der Internetauthentifizierungsdienst (INTERNET Authentication Service, IAS) wurde ab Windows Server 2008 in Netzwerkrichtlinienserver (Network Policy Server, NPS) umbenannt. Der Inhalt dieses Themas gilt sowohl für IAS als auch für NPS. Im gesamten Text wird NPS verwendet, um auf alle Versionen des Diensts zu verweisen, einschließlich der ursprünglich als IAS bezeichneten Versionen.
Die Identität des Benutzers, der die Authentifizierung anfordert, wird den NPS-Erweiterungs-DLLs in einer Reihe verschiedener Attribute bereitgestellt.
- ratUserName-
- ratStrippedUserName
- ratFQUserName-
Jedes Attribut stellt die Benutzeridentität in einem anderen Format bereit. Im Allgemeinen sollten Entwickler ratStrippedUserNameverwenden. Die Verwendung der ratUserName und ratFQUserName Attribute sind spezieller.
Anmerkung
Das User-Password Attribut ratUserPasswordwurde bereits entschlüsselt, wenn es an die Erweiterungs-DLL gesendet wird und in dieser Form verwendet werden kann.
ratUserName
Das attribut ratUserName enthält den Namen, der tatsächlich "über die Leitung" gesendet wurde. NPS hat den Inhalt dieses Attributs in keiner Weise verarbeitet oder überprüft. Dieses Attribut ist möglicherweise überhaupt nicht verfügbar, da der Benutzer möglicherweise über eine Möglichkeit wie anrufer-ID identifiziert wurde.
Wenn Sie RadiusExtensionProcess/Exverwenden, ist dieses Attribut nur am Plug-In für die Authentifizierungserweiterungs-DLL verfügbar. Das attribut "ratUserName" ist nicht verfügbar, da in Autorisierungserweiterungs-DLLs die RadiusExtensionProcess/Ex-Funktionen nur die "ausgehenden" Attribute sehen.
Wenn Sie RadiusExtensionProcess2verwenden, ist dieses Attribut sowohl für den Plug-In-Point der Authentifizierungserweiterungs-DLL als auch für den Dll-Plug-In-Punkt der Autorisierungserweiterung verfügbar.
ratStrippedUserName
Der ratStrippedUserName ist die Identität des Benutzers nach dem "Bereichstripping". Weitere Informationen zum Bereichstripping finden Sie unter Bereichsnamen Thema zu http://technet2.microsoft.com.
Dieses Attribut kann an dem DLL-Plug-In-Punkt der Authentifizierungserweiterung, dem DLL-Plug-In-Punkt der Autorisierungserweiterung oder beides vorhanden sein. Dieses Attribut ist garantiert über das Format verfügen:
Domain**\**UserName
Dabei ist Domain der NetBIOS-Domänenname.
ratFQUserName
Das attribut ratFQUserName ist der "vollqualifizierte" Benutzername.
Dieses Attribut kann im Dll-Plug-In-Punkt der Authentifizierungserweiterung, dem DLL-Plug-In-Punkt der Autorisierungserweiterung oder beides vorhanden sein. Das Format des Attributs kann sich jedoch zwischen den beiden Plug-In-Punkten unterscheiden. An der Authentifizierungserweiterungs-DLL-Plug-In-Stelle ist dieses Attribut immer der Form:
Domain**\**UserName
Das Format des ratFQUserName Attributs am Plug-In-Punkt der Autorisierungserweiterungs-DLL hängt davon ab, ob der Benutzer ein Active Directory-Benutzer ist.
Wenn der Benutzer ein lokaler Benutzer ist, ratFQUserName das gleiche Format wie für den Plug-In-Punkt der Authentifizierungserweiterungs-DLL hat:
Domain**\**UserName
.
Wenn es sich bei dem Benutzer um einen Active Directory-Benutzer handelt, kann ratFQUserName den Namen des Benutzers im Format "kanonisch" enthalten. Kanonisches Format ist das Format, das vom Active Directory verwendet wird, um den Benutzer zu identifizieren. Es ist der Pfad aus dem Stamm der Active Directory-Struktur und enthält die Organisationseinheit des Benutzers (ORGANISATIONSEINHEIT).
Verwandte Themen