Имеется сайт предприятия. Сайт находится на сервере предприятия. Имеется потребность в написании неких самописных средств для обеспечивания потребностей коммерческих служб. Некоторые из средств должны торчать и наружу, и вовнутрь. В этих условиях встает проблема выработки единой для всех средств политики аутентификации и авторизации.

Очень удобным признано для внутренних пользователей пользоваться службой ActiveDirectory. Таким образом, вроде бы вытанцовывается 2 схемы:

1. Дробить сайты на внешние и внутренние. Геморройно вроде бы.
2. Аутентификацию внешних пользователей производить из ActiveDirectory. Не хотелось бы заводить в ActiveDirectory внешних пользователей.

Есть и 3-й путь - навроде имперсонации, но как это сделать, непонятно...

В общем, посоветуйте кто что может.

Доступ извне сделать с помощью VPN либо через терминальный сервер.


Это нам, к сожалению или к счастью, не подходит - квалификация пользователей, которые потенциально будут посещать наш сайт, чрезвычайно далека от уровня, при котором они хотя бы слышали про VPN. И вообще ни к чему пускать их, даже ограниченно, в нашу внутреннюю сеть.

Может быть, есть возможность сделать имперсонацию т.о. - внешний пользователь заходит на сайт снаружи, фактически имея логин webUser, прописанный в домене (внутренние же пользователи распознаются правильно). Потом пользователю webUser предлагается ввести пароль/логин, он их вводит, и неким хитрым куском кода сессия как бы "имперсонируется" для работы от имени данного пользователя.

Что скажете? Можно ли написать такой кусок кода?

гм?