[C# .net] Windows 자격 증명 관리자 로그인 방법

프로그램에서 보안 인증을 구현하거나, 특정 계정으로 동작을 수행해야 할 때 활용할 때 자격 증명 관리자를 로그인합니다.

가령, 회사의 파일 서버에 접근하려면 권한이 부여된 계정을 자격 증명 관리자에 등록해야 합니다.

 

1. Windows API 함수 선언

(1) LogonUser

[DllImport("advapi32.dll", SetLastError = true, CharSet = CharSet.Auto)]
private static extern bool LogonUser(
    string lpszUsername,
    string lpszDomain,
    string lpszPassword,
    int dwLogonType,
    int dwLogonProvider,
    out IntPtr phToken
);

• 역할: 사용자를 인증하고, 인증된 사용자에 대한 보안 토큰(phToken)을 반환합니다.
• 매개변수:
  • lpszUsername: 로그인할 사용자 이름.
  • lpszDomain: 사용자가 속한 도메인. 도메인 이름이나 컴퓨터 이름을 사용하며, 로컬 사용자라면 .으로 지정.
  • lpszPassword: 사용자의 비밀번호.
  • dwLogonType: 로그인 유형을 지정하는 상수. 예를 들어, LOGON32_LOGON_NEW_CREDENTIALS는 새로운 자격 증명을 사용.
  • dwLogonProvider: 로그인 공급자. 기본적으로 LOGON32_PROVIDER_DEFAULT를 사용.
  • phToken: 호출이 성공하면 반환되는 사용자 보안 토큰 포인터.
• 반환값:
  • true: 인증 성공.
  • false: 인증 실패. 자세한 오류 코드는 Marshal.GetLastWin32Error()로 확인.

 

(2) CloseHandle 

[DllImport("kernel32.dll", CharSet = CharSet.Auto)]
private extern static bool CloseHandle(IntPtr handle);

• 역할: LogonUser로 생성된 사용자 보안 토큰 핸들을 닫아 메모리를 해제합니다.
• 매개변수:
  • handle: 닫을 핸들(LogonUser에서 반환된 phToken).
• 반환값:
  • true: 성공적으로 핸들이 닫힘.
  • false: 핸들을 닫는 데 실패. 추가 오류는 Marshal.GetLastWin32Error()를 통해 확인.

 

2. Logon Constans

(1) LOGON32_LOGON_NEW_CREDENTIALS

private const int LOGON32_LOGON_NEW_CREDENTIALS = 9;

• 의미: 새로운 자격 증명을 사용하여 네트워크 리소스에 액세스할 때 사용하는 로그인 유형.
• 사용 사례: 다른 계정의 보안 컨텍스트를 임시로 빌려와 작업을 수행해야 할 때.

 

(2) LOGON32_PROVIDER_DEFAULT

private const int LOGON32_PROVIDER_DEFAULT = 0;

• 의미: 기본 로그인 공급자를 사용.

 

3. 필드 및 컨텍스트

(1) _userToken

private IntPtr _userToken = IntPtr.Zero;

• 역할: LogonUser로 반환된 보안 토큰을 저장.
• 초기값: InPtr.Zero는 빈 토큰을 나타냄.

 

(2) _impersonationContext

private WindowsImpersonationContext _impersonationContext;

• 역할: WindowsIdentity.Impersonate로 생성된 사용자 컨텍스트 저장
• WindowsIdentity.Impersonate 이란: .NET에서 제공하는 메서드로, 특정 Windows 사용자 계정을 가장(Impersonate)하여 해당 계정의 보안 컨텍스트를 사용해 작업을 수행할 수 있도록 해줍니다.
• 사용 목적: 인증된 사용자의 보안 컨텍스트를 임시로 가져와 작업을 수행

 

4. 로그인 로직

Windows 자격 증명(사용자 이름, 도메인, 비밀번호)을 사용하여 특정 계정을 인증하고, 해당 계정의 보안 컨텍스트를 활성화하는 메서드입니다.

이를 통해 애플리케이션이 원래의 사용자 계정 대신 다른 계정의 권한으로 작업을 수행할 수 있습니다.

 

(1) LogonUser 호출

bool success = LogonUser(username, domain, password, LOGON32_LOGON_NEW_CREDENTIALS, LOGON32_PROVIDER_DEFAULT, out _userToken);

• LogonUser 함수:
  • Windows API 함수로, 특정 자격 증명(username, domain, password)으로 사용자를 인증.
• 매개변수 설명:
  • useername: 로그인하려는 사용자 계정의 이름.
  • domain: 계정이 속한 도메인, 로컬, 서버 계정이라면 "." 또는 머신 이름을 사용. ex)192.266.1.5
  • password: 해당 계정의 비밀번호
  • LOGON32_LOGON_NEW_CREDENTIALS
    • 새로운 자격 증명으로 작업을 수행.
    • 네트워크 리소스 액세스 등에서 사용.
  • LOGON32_PROVIDER_DEFAULT
    • 기본 인증 공급자를 사용하도록 지정.
• out _userToken:
  • 성공 시 반환되는 보안 토큰을 저장할 변수.
  • 이후 WindowsIdentity를 생성하거나 CloseHandle로 해제하는데 사용.

 

(2) 에러 처리

if (!success)
{
    int errorCode = Marshal.GetLastWin32Error();
    MessageBox.Show("인증 실패: 오류 코드 " + errorCode);
    return false;
}

• LogonUser가 실패하면:
  • Marshal.GetLastWin32Error 를 통해 Windows API에서 발생한 마지막 에러 코드를 가져옴.
  • 사용자에게 실패 메시지와 에러 코드를 표시.

 

(3) WindowsIdentity.Impersonate로 보안 컨텍스트 전환

_impersonationContext = WindowsIdentity.Impersonate(_userToken);

• WindowsIdentity.Impersonate:
  • _userToken을 사용하여 현재 스레드의 보안 컨텍스트를 변경.
  • 이후 코드가 새로운 계정(지정된 사용자 계정)의 권한으로 실행.
• 반환값:
  • WindowsImpersonationContext 객체: 컨텍스트를 복원할 때 사용.

 

(3) 예외 처리

catch (Exception ex)
{
    MessageBox.Show("인증 오류: " + ex.Message);
    return false;
}

• 인증 도중 예외 발생 시 사용자에게 메시지를 표시.
• 예외의 원인을 확인할 수 있도록 ex.Message를 출력.

 

5. 로그아웃 로직

Windows 자격 증명 관리자에서 생성된 보안 컨텍스트를 종료하고, 이를 위해 사용된 자원을 안전하게 해제하는 메서드입니다.

인증 작업이 끝난 뒤 자원을 정리하여 메모리 누수 및 보안 문제를 방지하는 역할을 합니다.

 

(1) 인증 컨텍스트 종료

if (_impersonationContext != null)
{
    _impersonationContext.Undo();
    _impersonationContext = null;
}

• _impersonationContext:
  • 이전에 WindowsIdentity.Impersonate로 생성된 보안 컨텍스트를 나타냄.
  • 현재 스레드가 다른 계정의 권한으로 작업ㅇ르 수행하고 있음을 의미.
• Undo():
  • 현재 스레드의 보안 컨텍스트를 원래 상태(로그인한 계정의 권한)로 복원.
  • 복원 작업 후_impersonationContext는 더 이상 필요하지 않으므로 null로 설정하여 정리.
• 필요성:
  • 보안 컨텍스트를 명시적으로 종료하지 않으면 이후 코드가 잘못된 계정의 권한으로 실행될 수 있음.

 

(2) 사용자 토큰 해제

if (_userToken != IntPtr.Zero)
{
    bool result = CloseHandle(_userToken);
    if (!result)
    {
        int errorCode = Marshal.GetLastWin32Error();
        MessageBox.Show("CloseHandle 실패: 오류 코드 " + errorCode);
    }

    _userToken = IntPtr.Zero;
}

• _userToken:
  • LogonUser 함수에서 반환된 보안 토큰.
  • 작업이 끝난 후 반드시 해제해야 함.
• CloseHandle(_userToken):
  • Windows API 함수로, 보안 토큰(_userToken)과 관련된 시스템 자원을 해제.
  • 반환값이 false인 경우 해제 실패를 의미.
• Marshal.GetLastWin32Error():
  • CloseHandle 호출이 실패한 경우, Windows API에서 발생한 마지막 에러 코드를 가져옴.
  • 에러 코드를 확인하여 원인을 파악하고, 사용자에게 알림 메시지로 표시.
• 필요성:
  • 보안 토큰을 해제하지 않으면 메모리 누수와 보안 취약점 발생 가능

 

전체코드

		// Windows API 함수 선언
        [DllImport("advapi32.dll", SetLastError = true, CharSet = CharSet.Auto)]
        private static extern bool LogonUser(
            string lpszUsername,
            string lpszDomain,
            string lpszPassword,
            int dwLogonType,
            int dwLogonProvider,
            out IntPtr phToken
        );

        [DllImport("kernel32.dll", CharSet = CharSet.Auto)]
        private extern static bool CloseHandle(IntPtr handle);

        // Logon Constants
        private const int LOGON32_LOGON_NEW_CREDENTIALS = 9; // 새로운 자격 증명으로 로그인
        private const int LOGON32_PROVIDER_DEFAULT = 0;      // 기본 인증 제공자를 사용하도록 지정

        private IntPtr _userToken = IntPtr.Zero;
        private WindowsImpersonationContext _impersonationContext;
        
        // 자격증명관리자 로그인
        private bool AuthenticateUser(string username, string domain, string password)
        {
            try
            {
                // 인증을 위한 Windows API 호출
                bool success = LogonUser(username, domain, password, LOGON32_LOGON_NEW_CREDENTIALS, LOGON32_PROVIDER_DEFAULT, out _userToken);
                if (!success)
                {
                    int errorCode = Marshal.GetLastWin32Error();
                    MessageBox.Show("인증 실패: 오류 코드 " + errorCode);
                    return false;
                }

                // 인증 컨텍스트 시작
                _impersonationContext = WindowsIdentity.Impersonate(_userToken);
                return true;
            }
            catch (Exception ex)
            {
                MessageBox.Show("인증 오류: " + ex.Message);
                return false;
            }
         }
         
        // 자격증명관리자 로그아웃
        private void LogoutUser()
        {
            try
            {
                // 인증 컨텍스트 종료 및 자원 해제
                if (_impersonationContext != null)
                {
                    _impersonationContext.Undo();
                    _impersonationContext = null;
                }

                // 사용자 토큰을 안전하게 닫기
                if (_userToken != IntPtr.Zero)
                {
                    bool result = CloseHandle(_userToken);
                    if (!result)
                    {
                        // CloseHandle 실패 시 에러 로그 추가
                        int errorCode = Marshal.GetLastWin32Error();
                        // 적절한 로깅 또는 예외 처리
                        MessageBox.Show("CloseHandle 실패: 오류 코드 " + errorCode);
                    }

                    _userToken = IntPtr.Zero;
                }
            }
            catch (Exception ex)
            {
                // 예외 처리: 로그아웃 시 오류가 발생하면 이를 처리
                MessageBox.Show("로그아웃 중 오류 발생: " + ex.Message);
            }
         }
         
         
         // 실행 함수
         private bool action(){
         
         	// 자격 증명 관리자 로그인:username, domain, password
            if (!AuthenticateUser("username", "188.161.2.250", "password"))
            {
                MessageBox.Show("자격 증명 관리자 로그인이 실패했습니다. 작업을 취소합니다.");
                return false; // 로그인 실패 시 작업 취소
            }
         	
            
            try
            {
            	
            	// 계정 권한으로 실행할 작업
       			MessageBox.Show("인증 성공! 현재 사용자: " + WindowsIdentity.GetCurrent().Name);
            
            }
            finally
            {
                LogoutUser(); // 인증 컨텍스트 종료
            }
         
         }