Microsoft MVP성태의 닷넷 이야기
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일

COM+ 서버 응용 프로그램을 이용해 CoInitializeSecurity 제약 해결

이전에 설명한 데로,

Wslhub.Sdk 사용으로 알아보는 CoInitializeSecurity 사용 제약
; https://www.sysnet.pe.kr/2/0/12665

CoInitializeSecurity는 EXE 프로세스 전역에 걸쳐 단 한 번만 호출할 수 있습니다. 그런데 "CoInitializeSecurity를 제대로 부르고 싶으면 결국은 네이티브의 힘을 빌릴 수밖에 없는 걸까요?" 질문에서 나왔던 것처럼, LINQPAD나 PowerShell, WebBrowser 컨트롤을 호스팅하는 Windows Forms 등의 응용 프로그램에서는 내부적으로 CoInitializeSecurity를 (WSL Win32 API 호출에 부합하지 않는 옵션으로) 호출하기 때문에 이런 환경에서의 WslHub 패키지 사용을 방해하게 되는 문제가 있습니다.

간단한 테스트로, Windows Forms 응용 프로그램에 WebBrowser 컨트롤을 얹고 다음과 같이 Form1_Load 이벤트 코드를 작성하면,

using System;
using System.Windows.Forms;
using Wslhub.Sdk;

namespace WindowsFormsApp1
{
    // Install-Package Wslhub.Sdk
    public partial class Form1 : Form
    {
        public Form1()
        {
            InitializeComponent();
        }

        private void Form1_Load(object sender, EventArgs e)
        {
            this.webBrowser1.Navigate("https://forum.dotnetdev.kr");

            Wsl.InitializeSecurityModel();

            string distroName = Wsl.GetDefaultDistro().DistroName;
            MessageBox.Show(Wsl.RunWslCommand(distroName, "cat /etc/passwd"));
        }

    }
}

Wsl.InitializeSecurityModel() 호출에서 "System.Runtime.InteropServices.COMException (0x80010119): Cannot complete CoInitializeSecurity." 예외가 발생합니다. 또는 Wsl.InitializeSecurityModel 호출을 제거하고 Wsl 관련 메서드를 호출하면 자격 증명을 전달할 수 없어 오동작을 하게 됩니다. (아마도 svchost.exe의 Local SYSTEM 계정에 해당하는 환경으로 WSL Win32 API들이 실행될 것입니다.)




이 제약을 벗어나기 위해 WslHub 저작자는 Local Server 형식의 COM 개체를 선택했습니다.

C#으로만 만든 Out-of-process 타입의 COM 서버
; https://forum.dotnetdev.kr/t/c-out-of-process-com/1072

wslhub/wsl-sdk-com
; https://github.com/wslhub/wsl-sdk-com

물론, 저 방법도 좋은 선택인데 ^^ 다양성을 위해 이번에는 COM+로 이를 해결하는 방법을 설명해 보겠습니다. 사실 COM+의 서버 유형 프로그램이 바로 이런 용도로 사용할 수 있기도 합니다.

Client-Side Requirements for Impersonation
; https://docs.microsoft.com/en-us/windows/win32/cossdk/client-side-requirements-for-impersonation

COM+ applications can always act as clients, of course. When the COM+ application makes a call to another application or resource, it expresses an impersonation level. For COM+ server applications, you can set an impersonation level administratively. COM+ library applications cannot set their own impersonation level; they use that of the host process instead. To learn how to set impersonation for a COM+ application, see Setting an Impersonation Level.


실제로 한 번 해볼까요? ^^

간단하게 COM+를 위한 DLL 프로젝트를 하나 만들고 WslHub.Sdk를 호스팅하기 위한 COM 타입을 이렇게 정의합니다.

// Install-Package Wslhub.Sdk

namespace WslProxy
{
    [System.Runtime.InteropServices.Guid("96A2754F-0F5A-446B-A974-3EC47C04B27F")]
    public class WslServiceProxy : ServicedComponent
    {
        public WslServiceProxy()
        {
        }    

        public bool IsDistroRegistered(string distroName)
        {
            return NativeMethods.WslIsDistributionRegistered(distroName);
        }

        public DistroRegistryInfo GetDefaultDistro()
        {
            return Wsl.GetDefaultDistro();
        }

        public string[] GetDistroList()
        {
            return Wsl.GetDistroListFromRegistry().Select(x => x.DistroName).ToArray();
        }

        public string RunWslCommand(string distroName, string commandLine)
        {
            return Wsl.RunWslCommand(distroName, commandLine);
        }
    }
}

그런 다음, 이에 대해 COM+ 서버 응용 프로그램으로 등록하라고 assembly 수준의 특성을 추가해,

[assembly: ApplicationActivation(ActivationOption.Server)]
[assembly: ApplicationAccessControl(false)]
[assembly: ApplicationName("WslProxy")]
[assembly: ComVisible(true)]

regsvcs를 이용해 등록해 주면,

"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\regsvcs.exe" WslProxy.dll

이후, WslProxy.dll을 다른 프로젝트에서 참조해 사용하면 됩니다. 가령, 위의 문제가 되었던 (WebBrowser 컨트롤을 포함한) Windows Forms 예제에서도 다음과 같이 사용할 수 있습니다.

using System;
using System.Windows.Forms;

namespace WindowsFormsApp2
{
    public partial class Form1 : Form
    {
        public Form1()
        {
            InitializeComponent();
        }

        private void Form1_Load(object sender, EventArgs e)
        {
            this.webBrowser1.Navigate("https://forum.dotnetdev.kr");

            try
            {
                Guid guid = new Guid("{96A2754F-0F5A-446B-A974-3EC47C04B27F}");
                Type type = Type.GetTypeFromCLSID(guid);
                ActivateInstance(type);
            }
            catch (Exception ex)
            {
                MessageBox.Show(ex.ToString());
            }
        }

        private static void ActivateInstance(Type type)
        {
            object comObject = Activator.CreateInstance(type);

            WslProxy.WslServiceProxy wsl = comObject as WslProxy.WslServiceProxy;

            foreach (string text in wsl.GetDistroList())
            {
                Console.WriteLine(text);
            }

            string distroName = wsl.GetDefaultDistro().DistroName;
            MessageBox.Show(wsl.RunWslCommand(distroName, "cat /etc/passwd"));
        }
    }
}

그런데, 아직은 위의 코드를 수행하면 다음과 같은 예외가 발생합니다.

System.Runtime.Serialization.SerializationException: Type 'WslSdk.DistroRegistryInfo' in Assembly 'WslProxy, Version=1.0.0.0, Culture=neutral, PublicKeyToken=465ff3ec4fc809d7' is not marked as serializable.
   at System.Runtime.Serialization.FormatterServices.InternalGetSerializableMembers(RuntimeType type)
   at System.Collections.Concurrent.ConcurrentDictionary`2.GetOrAdd(TKey key, Func`2 valueFactory)
   at System.Runtime.Serialization.FormatterServices.GetSerializableMembers(Type type, StreamingContext context)
   at System.Runtime.Serialization.Formatters.Binary.WriteObjectInfo.InitMemberInfo()
   at System.Runtime.Serialization.Formatters.Binary.WriteObjectInfo.InitSerialize(Object obj, ISurrogateSelector surrogateSelector, StreamingContext context, SerObjectInfoInit serObjectInfoInit, IFormatterConverter converter, ObjectWriter objectWriter, SerializationBinder binder)
   at System.Runtime.Serialization.Formatters.Binary.WriteObjectInfo.Serialize(Object obj, ISurrogateSelector surrogateSelector, StreamingContext context, SerObjectInfoInit serObjectInfoInit, IFormatterConverter converter, ObjectWriter objectWriter, SerializationBinder binder)
   at System.Runtime.Serialization.Formatters.Binary.ObjectWriter.Serialize(Object graph, Header[] inHeaders, __BinaryWriter serWriter, Boolean fCheck)
   at System.Runtime.Serialization.Formatters.Binary.BinaryFormatter.Serialize(Stream serializationStream, Object graph, Header[] headers, Boolean fCheck)
   at System.EnterpriseServices.ComponentSerializer.MarshalToBuffer(Object o, Int64& numBytes)
   at System.EnterpriseServices.ComponentServices.ConvertToString(IMessage reqMsg)
   at System.EnterpriseServices.ServicedComponent.RemoteDispatchHelper(String s, Boolean& failed)
   at System.EnterpriseServices.ServicedComponent.System.EnterpriseServices.IRemoteDispatch.RemoteDispatchNotAutoDone(String s)
   at System.EnterpriseServices.IRemoteDispatch.RemoteDispatchNotAutoDone(String s)
   at System.EnterpriseServices.RemoteServicedComponentProxy.Invoke(IMessage reqMsg)
   at System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
   at WslProxy.WslServiceProxy.GetDefaultDistro()
   at WindowsFormsApp2.Form1.ActivateInstance(Type type)
   at WindowsFormsApp2.Form1.Form1_Load(Object sender, EventArgs e)

오류 메시지에 따라, DistroRegistryInfo 타입의 직렬화 문제가 발생한 것이므로 소스 코드에서 이를 추가해야 합니다.

[ComVisible(true)]
[Serializable]
public class DistroRegistryInfo
{
    // ...[생략]...
}

여기까지 변경해서 regsvcs.exe로 COM+ 개체를 등록하면 이제 어느 환경에서나 WSL 관련 Win32 API를 호출하는 데 아무런 문제가 없습니다.




COM+ 서버 유형에서 이런 작업이 가능한 데에는 Security 탭에 있는 "Impersonation Level"의 기본값으로 "Impersonate"가 지정돼 있기 때문입니다.

coinitsec_complus_1.png

바로 저 옵션이 COM+ DLL을 호스팅하는 dllhsot.exe의 기본 CoInitializeSecurity 호출에 대한 RpcImpLevel 값이 됩니다. 그렇다면, COM+ 서버 프로세스(dllhost.exe)는 어떤 계정으로 WSL 원격 프로세스(svchost.exe)에 impersonation을 시도할까요?

아쉽게도, 해당 COM+를 호출한 프로세스의 계정이 아닌, COM+ 서버의 Identity로 설정된 계정으로 된다는 작은 문제점이 있습니다.

coinitsec_complus_2.png

따라서, 프로세스를 다른 사용자 계정으로 테스트하면 여전히 윈도우에 로그온 된 사용자 계정의 문맥으로 WSL 결과를 반환하게 됩니다. 예를 들어, 다음과 같이 간단하게 (WslProxy COM+ 개체를 사용하는) ConsoleApp을 만들고,

using System;

namespace ConsoleApp2
{
    class Program
    {
        static void Main(string[] args)
        {
            try
            {
                Guid guid = new Guid("{96A2754F-0F5A-446B-A974-3EC47C04B27F}");
                Type type = Type.GetTypeFromCLSID(guid);
                ActivateInstance(type);
            }
            catch (Exception ex)
            {
                Console.WriteLine(ex.ToString());
            }

            Console.ReadLine();
        }

        private static void ActivateInstance(Type type)
        {
            object comObject = Activator.CreateInstance(type);

            WslProxy.WslServiceProxy wsl = comObject as WslProxy.WslServiceProxy;

            foreach (string text in wsl.GetDistroList())
            {
                Console.WriteLine(text);
            }

            string distroName = wsl.GetDefaultDistro().DistroName;
            Console.WriteLine(adminCode.RunWslCommand(distroName, "cat /etc/passwd"));
        }
    }
}

psexec의 도움을 받아,

SYSTEM 권한으로 UI 프로그램 실행하는 방법
; https://www.sysnet.pe.kr/2/1/1153

SYSTEM 계정으로 응용 프로그램을 실행해도,

C:\temp> psexec -s -i C:\temp\ConsoleApp2.exe

여전히 현재 로그인한 사용자의 계정으로 등록된 WSL 정보를 가져오게 됩니다. 현실적으로, WSL 구성 요소가 Windows 10에 설치되고 단일 사용자가 로그인해 작업한다는 가정으로 이것이 큰 제약이 되지는 않겠지만, 약간 아쉬운 것은 사실입니다. ^^

(첨부 파일은 이 글의 예제 코드를 포함합니다.)




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]


donaricano-btn



[최초 등록일: ]
[최종 수정일: 6/17/2021]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 쓴 사람
 




1  2  3  4  [5]  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12762정성태8/8/2021768Java: 28. IntelliJ - Unable to open debugger port 오류
12761정성태8/8/2021509Java: 27. IntelliJ - java: package javax.inject does not exist [2]
12760정성태8/8/2021403개발 환경 구성: 594. 전용 "Command Prompt for ..." 단축 아이콘 만들기
12759정성태8/8/2021692Java: 26. IntelliJ + Spring Framework + 새로운 Controller 추가 [2]파일 다운로드1
12758정성태8/7/2021502오류 유형: 751. Error assembling WAR: webxml attribute is required (or pre-existing WEB-INF/web.xml if executing in update mode)
12757정성태8/7/2021430Java: 25. IntelliJ + Spring Framework 프로젝트 생성
12756정성태8/6/2021429.NET Framework: 1084. C# - .NET Core Web API 단위 테스트 방법파일 다운로드1
12755정성태8/5/2021328개발 환경 구성: 593. MSTest - 단위 테스트에 static/instance 유형의 private 멤버 접근 방법파일 다운로드1
12754정성태8/5/2021493오류 유형: 750. manage.py - Your project may not work properly until you apply the migrations for app(s): admin, auth, contenttypes, sessions.
12753정성태8/5/2021523오류 유형: 749. PyCharm - Error: Django is not importable in this environment
12752정성태8/4/2021386개발 환경 구성: 592. JetBrains의 IDE(예를 들어, PyCharm)에서 Visual Studio 키보드 매핑 적용
12751정성태8/4/2021540개발 환경 구성: 591. Windows 10 WSL2 환경에서 docker-compose 빌드하는 방법
12750정성태8/3/2021355디버깅 기술: 181. windbg - 콜 스택의 "Call Site" 오프셋 값이 가리키는 위치
12749정성태8/2/2021378개발 환경 구성: 590. Visual Studio 2017부터 단위 테스트에 DataRow 특성 지원
12748정성태8/2/2021299개발 환경 구성: 589. Azure Active Directory - tenant의 관리자(admin) 계정 로그인 방법
12747정성태8/1/2021323오류 유형: 748. 오류 기록 - MICROSOFT GRAPH – HOW TO IMPLEMENT IAUTHENTICATIONPROVIDER파일 다운로드1
12746정성태7/31/2021580개발 환경 구성: 588. 네트워크 장비 환경을 시뮬레이션하는 Packet Tracer 프로그램 소개
12745정성태7/31/2021296개발 환경 구성: 587. Azure Active Directory - tenant의 관리자 계정 로그인 방법
12744정성태7/30/2021294개발 환경 구성: 586. Azure Active Directory에 연결된 App 목록을 확인하는 방법?
12743정성태7/30/2021362.NET Framework: 1083. Azure Active Directory - 외부 Token Cache 저장소를 사용하는 방법파일 다운로드1
12742정성태7/30/2021382개발 환경 구성: 585. Azure AD 인증을 위한 사용자 인증 유형
12741정성태7/29/2021352.NET Framework: 1082. Azure Active Directory - Microsoft Graph API 호출 방법파일 다운로드1
12740정성태7/29/2021479오류 유형: 747. SharePoint - InvalidOperationException 0x80131509
12739정성태7/28/2021431오류 유형: 746. Azure Active Directory - IDW10106: The 'ClientId' option must be provided.
12738정성태7/28/2021600오류 유형: 745. Azure Active Directory - Client credential flows must have a scope value with /.default suffixed to the resource identifier (application ID URI).
12737정성태7/28/2021411오류 유형: 744. Azure Active Directory - The resource principal named api://...[client_id]... was not found in the tenant
1  2  3  4  [5]  6  7  8  9  10  11  12  13  14  15  ...