那些遇到过的问题

除非客户端和服务器使用相同的Windows标识,否则带有sspi的WCF Net.tcp将失败

Cha*_*ana 13 security wcf sspi net.tcp

我有一个由Windows服务托管的WCF服务.如果我使用与运行服务相同的凭据登录到客户端计算机,则客户端应用程序会成功,但如果我使用任何其他有效域帐户登录,则会失败并出现异常.

我有两个我正在测试的帐户,一个是普通用户帐户,另一个帐户是管理员帐户.我已经尝试了下面列出的所有四种组合:

                   Server account
   CLient      RegUser    AdminAcct   
  RegUser     Succeeds      Fails   
 AdminAcct     Fails       Succeeds
Run Code Online (Sandbox Code Playgroud)

正如您所看到的那样,当客户端和服务器都在非管理员帐户下运行时,系统可以正常工作,因此不会出现管理问题.在它失败的两种情况下,我在客户端上得到相同的异常,并没有指示服务器日志中发生的任何事情:

"对SSPI的调用失败了.看内部异常"

内部异常是"目标原则名称不正确".

我已将帐户注册为SPN.

问题只发生在我的客户端应用程序中,但不是在我使用WCVFTestClient.exeVisual Studio附带的时候.

WCF跟踪日志中的例外是

"System.ServiceModel.Security.SecurityNegotiationException,System.ServiceModel,Version = 4.0.0.0,Culture = neutral,PublicKeyToken = b77a5c561934e089"

有消息:

"远程端的身份验证失败(流可能仍可用于其他身份验证尝试)."

堆栈跟踪位于底部:出了什么问题?

堆栈跟踪

System.ServiceModel.Channels.WindowsStreamSecurityUpgradeProvider.WindowsStreamSecurityUpgradeAcceptor.OnAcceptUpgrade(流流,SecurityMessageProperty&remoteSecurity)System.ServiceModel.Channels.StreamSecurityUpgradeAcceptorBase.AcceptUpgrade(流流)System.ServiceModel.Channels.InitialServerConnectionReader.UpgradeConnection(IConnection连接,StreamUpgradeAcceptor upgradeAcceptor,IDefaultCommunicationTimeouts defaultTimeouts) System.ServiceModel.Channels.ServerSessionPreambleConnectionReader.ServerFramingDuplexSessionChannel.OnOpen(TimeSpan timeout)System.ServiceModel.Channels.CommunicationObject.Open(TimeSpan timeout)System.ServiceModel.Dispatcher.ChannelHandler.OpenAndEnsurePump()System.Runtime.ActionItem.DefaultActionItem.TraceAndInvoke() System.Runtime.ActionItem.CallbackHelper.InvokeWithoutContext(Object state)System.Runtime.IOThreadScheduler.ScheduledOverlapped.IOCallback(UInt32 errorCode,UInt32 numBytes,NativeOverlapped*nativeOverlapped)System.Run time.Fx.IOCompletionThunk.UnhandledExceptionFrame(UInt32错误,UInt32 bytesRead,NativeOverlapped*nativeOverlapped)System.Threading._IOCompletionCallback.PerformIOCompletionCallback(UInt32 errorCode,UInt32 numBytes,NativeOverlapped*pOVERLAP)

Cha*_*ana 14

找到了答案.我的问题是两个因素的结合.

  1. 使用net.tcp二进制WCF协议时,客户端安全模式确定是使用NTLM还是Kerberos进行身份验证.如果将客户端安全模式设置为"传输",则身份验证使用NTLM,并且只能进行一次跳转.如果您尝试让WCF服务器与第三台服务器(如数据库)通信,它将失败.使用SecurityMode ="Message",otoh,使WCF服务器使用Kerberos,允许多跳...

  2. 第二个问题与我在绑定客户端上所做的事情有关.WCF协议net.tcp要求在客户端上实例化端点时,必须指定"端点标识"(请参阅​​下面的代码).我错误地认为这与身份验证有某种关系,因此,它是客户端上当前登录用户(Windows Principal)的身份. 

        var epId = EndpointIdentity.CreateUpnIdentity(userPrincipalName);
    var ep = new EndpointAddress(new Uri(url), epId):
    Run Code Online (Sandbox Code Playgroud)

    否...在客户端上创建端点时必须指定的标识必须是运行服务器的标识.这就是为什么每当我使用与运行服务时相同的用户登录到客户端时代码都工作的原因,并且当客户端是其他用户时失败.

    我仍然不明白为什么必须在客户端的端点中指定(服务帐户的)用户身份.服务器上有什么功能需要这些数据?

归档时间:

查看次数:

14997 次

最近记录:

9 年,5 月 前
相关归档
在安全页面上查找所有不安全的内容 63
Servicehost抛出错误,即使添加到配置netsh 7
WCF服务实例的生命周期? 7
HTTP Slow Post和IIS设置以防止 6
如何使用 NTLM 对 WCF Web 服务的控制台应用程序进行身份验证? 5
如何在Windows Phone 7中使用BinaryFormatter 5
Html Antiforgerytoken cookie和输入值是不同的 5
负载均衡器后面的WCF - 如何设置 4
WordPress:限制登录尝试(无插件) 3
防止篡改客户端地理编码结果 2
难疑归档
你如何设置,清除和切换一个位? 2454
C++ 11引入了标准化的内存模型.这是什么意思?它将如何影响C++编程? 1810
如何按字典值对字典列表进行排序? 1722
PHP中的startsWith()和endsWith()函数 1409
如何在python字符串中打印文字大括号字符并在其上使用.format? 1320
适用于PDF文件的MIME媒体类型 1229
如何在Java中将数字舍入到n个小数位 1209
如何使用Windows开发机器为iPhone开发? 1161
查找包含具有指定名称的列的所有表 - MS SQL Server 1090
AngularJS中指令范围内的'@'和'='有什么区别? 1053