User.IsInRole(“假组”)导致“主域和可信域之间的信任关系失败”。

Question

我有一个MVC 3应用程序，使用Windows身份验证和索赔使用WIF 4.5。

对应用程序的访问(目前)是通过AD组的成员身份来控制的：

<deny users="?" />
<allow roles="domain\somegroup" />
<deny users="*" />

除了AD组，我们还有需要添加的自定义角色。(此应用程序正在从窗体转换为Windows身份验证)

为了支持这些自定义角色(直到它们在AD中被管理)，我们将按照ClaimTypes.GroupSid向用户声明的方式添加它们，以便利用[Authorize("ADMIN")]和User.IsInRole("ADMIN")的现有代码继续工作：

Application_PostAuthenticateRequest(object sender, EventArgs e)
{
    var identity = ClaimsPrincipal.Current.Identity as WindowsIdentity;
    var roles = userDAL.GetRoles(identity.Name);
    foreach(var role in roles)
    {
        identity.AddClaim(new Claim(ClaimTypes.GroupSid, role));
    }
}

这一切都如期而至。

除非当前用户不是某个自定义角色(如ADMIN)的成员，而且AD中也不存在该角色

我们在Controller方法上使用[Authorize("ADMIN")]，以及在场景中使用User.IsInRole("ADMIN")的各种实例。在那些错误发生的情况下，应用程序就会爆炸。

AD基础设施正在进行升级/迁移。我不知道所有的细节，但我知道有少数几个领域，据说他们之间的信任，它已经暗示我的基础设施的人，这些信任关系已经建立和运行。

所以我真的想知道两件事：

1. 这似乎并不是我们的代码必须要处理的事情。那么，域名到底有什么问题呢？我能找出信任关系失败的“可信”域吗？
2. 解决这个问题的最好方法是什么？我不喜欢编写助手方法& Authorize()子类只是为了捕捉这个异常。

Answer 1

如果您的可信域配置不可用，IsInRole也会在受信任的doamins中搜索组，如果信任域不可用，则引发信任豁免。