Dev Faq
7
votes

Erreur de sécurité d'authentification WCF Windows

J'ai un certain code qui essaie les paramètres de sécurité des appelants Windows, puis connectez-vous à un autre service WCF sur une machine différente 

WindowsIdentity callerWindowsIdentity = ServiceSecurityContext.Current.WindowsIdentity;
using (callerWindowsIdentity.Impersonate())
{
    NetTcpBinding binding = new NetTcpBinding();
    binding.Security.Mode = SecurityMode.Message;
    binding.Security.Message.ClientCredentialType = MessageCredentialType.Windows;
    EndpointAddress endpoint = new EndpointAddress(new Uri("net.tcp://serverName:9990/TestService1"));
    ChannelFactory<WCFTest.ConsoleHost.IService1> channel = new ChannelFactory<WCFTest.ConsoleHost.IService1>(binding, endpoint);
    WCFTest.ConsoleHost.IService1 service = channel.CreateChannel();
    return service.PrintMessage(msg);
}

0 commentaires

4 Réponses :

0
votes

L'impersonnation de votre service à la suivante est une question délicate, appelée problème de «double hop».

Je n'ai pas de réponse finale pour cela (je l'évite généralement en utilisant un compte de service explicite pour le service qui doit appeler un autre service).

Mais: vous devriez définitivement consulter le Guide de sécurité WCF sur CodePlex et rechercher "Impersonation "- Il y a plusieurs articles là-bas qui expliquent tous les ins et aboutissants d'emprunter un appelant original et pourquoi c'est délicat.

marc

0 commentaires
1
votes

D'accord avec Marc_s Ceci est le problème du double hop.

Vous devez obtenir l'authentification Windows tout au long, donc:

  • La demande doit être faite dans le contexte d'un utilisateur Windows
  • IIS doit être configuré pour utiliser l'authentification Windows
  • web.config doit être configuré pour l'authentification Windows avec IMPERSONATE = TRUE
  • L'utilisateur que votre pool d'applications est en cours d'exécution, doit être autorisé à imiter un utilisateur. C'est l'endroit habituel où se trouve le problème du double saut.

    Il y a un droit appelé "Impersonate un client après authentification"

    http: // blogs .technet.com / Askerf / Archive / 2007/10/16 / WMI-Dépannage-Impersonation-Rights.aspx

0 commentaires
0
votes

Si vous êtes sûr de disposer des informations d'identification à la fois sur les deux houblons, la prochaine chose que pourrait causer que le problème soit le manque de désinvoltednsidsibilité de la fin du point de terminaison. xxx

0 commentaires
3
votes

Afin de soutenir votre scénario, vous devez comprendre comment Transition de protocole et Délégation contrainte < / a> travail. Vous devrez configurer à la fois Active Directory et votre ou vos points d'extrémité de service WCF pour l'appuyer. Notez l'utilisation du nom du capital de service (SPN). Jetez un coup d'œil au lien suivant et voyez s'ils vous aident. L'article dispose d'un échantillon pour démontrer la configuration complète de bout en bout requise pour effectuer ce travail.

Comment: Impersonate de l'appelant d'origine dans WCF Appel d'une application Web

0 commentaires

Articles qui pourrait vous intéresser :

Calculer la différence dans l'échelle d'évaluation alphabétique
Ignorer la propriété de l'interface utilisateur Swagger
Comment détruire les éléments dynamiques du panneau dans le script Unity C #
Entity Framework Core 3.1 avec NetTopologySuite.Geometries.Point: SqlException: la valeur fournie n'est pas une instance valide de la géographie du type de données