Безопасность WCF: неверные учетные данные передаются в сервис

Question

У меня проблема с подключением к службе WCF от ISS, и она передает учетные данные пула приложений IIS вместо учетных данных Windows. Когда я запускаю веб-сайт локально, нажимая F5 в VS, он передает мои учетные данные Windows, что я и хочу.

Мой сайт настроен на использование аутентификации Windows, и анонимная аутентификация отключена.

Я вижу в средстве просмотра событий Windows, что он не использует Kerberos для подключения к коробке, на которой включен IIS, он использует NTLM. Но я вижу, что он использует Kerberos при переходе от IIS к моей службе WCF с помощью:

OperationContext.Current.ServiceSecurityContext.PrimaryIdentity.AuthenticationType.ToString() 

Я думаю, что следует использовать Kerberos при подключении к коробке IIS, чтобы идеи там были оценены?

Ящики и пользователь настроены так, чтобы разрешить делегирование, и у меня включена связь NETTCP и т. Д. На моем

Вот моя конфигурация хоста, которая размещается с помощью консольного приложения на том же сервере, что и сервер IIS:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.serviceModel>
    <bindings>
      <netTcpBinding>
        <binding name="defaultBinding" closeTimeout="02:02:00" openTimeout="02:01:00"
            receiveTimeout="02:10:00" sendTimeout="02:02:00" maxBufferSize="2147483647"
            maxReceivedMessageSize="2147483647">
          <security mode="Transport" >
            <transport clientCredentialType="Windows"/>
          </security>
        </binding>
      </netTcpBinding>
    </bindings>
    <behaviors>
      <endpointBehaviors>
        <behavior name="defaultClientBehavior">
          <clientCredentials />
        </behavior>
      </endpointBehaviors>
      <serviceBehaviors>
        <behavior name="ServiceConfigBehavior">
          <serviceMetadata httpGetEnabled="false" />
          <serviceDebug includeExceptionDetailInFaults="true" />
          <serviceAuthorization impersonateCallerForAllOperations="true" />
          <serviceCredentials>
            <windowsAuthentication includeWindowsGroups="true" allowAnonymousLogons="false" />
          </serviceCredentials>
        </behavior>
      </serviceBehaviors>
    </behaviors>
    <services>
      <service behaviorConfiguration="ServiceConfigBehavior"
          name="ServiceConfig">
        <endpoint address="" behaviorConfiguration="" binding="netTcpBinding"
            bindingConfiguration="defaultBinding" contract="IServiceConfig">
          <identity>
            <servicePrincipalName value="nettcp/RDM" />
            <dns value="" />
          </identity>
        </endpoint>
        <endpoint address="mex" binding="mexTcpBinding" bindingConfiguration=""
            contract="IMetadataExchange" />
        <host>
          <baseAddresses>
            <add baseAddress="net.tcp://ServerName:8731/ServiceConfig/" />
          </baseAddresses>
        </host>
      </service>
    </services>
  </system.serviceModel>
</configuration>

Вот мой конфиг клиента:

     </clientCredentials>
    </behavior>
   </endpointBehaviors>
  </behaviors>
  <bindings>
   <netTcpBinding>
    <binding name="NetTcpBinding_IServiceConfig" closeTimeout="00:01:00"
     openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00"
     transactionFlow="false" transferMode="Buffered" transactionProtocol="OleTransactions"
     hostNameComparisonMode="StrongWildcard" listenBacklog="10" maxBufferPoolSize="524288"
     maxBufferSize="65536" maxConnections="10" maxReceivedMessageSize="65536">
     <readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
      maxBytesPerRead="4096" maxNameTableCharCount="16384" />
     <reliableSession ordered="true" inactivityTimeout="00:10:00"
      enabled="false" />
     <security mode="Transport">
      <transport clientCredentialType="Windows" protectionLevel="EncryptAndSign" />
      <message clientCredentialType="Windows" />
     </security>
    </binding>
   </netTcpBinding>
  </bindings>
        <client>
   <endpoint address="net.tcp://syrwp01:8731/ServiceConfig/"
    behaviorConfiguration="defaultClientBehavior" binding="netTcpBinding"
    bindingConfiguration="NetTcpBinding_IServiceConfig" contract="ServiceReference1.IServiceConfig"
    name="NetTcpBinding_IServiceConfig">
    <identity>
     <servicePrincipalName value="nettcp/RDM" />
    </identity>
   </endpoint>
  </client>
    </system.serviceModel>

А вот метод обслуживания, который называется:

    [OperationBehavior(Impersonation = ImpersonationOption.Allowed)]        
    public string PrintMessage(string msg)
    {
        Console.WriteLine(DateTime.Now.ToString());

        WindowsIdentity callerWindowsIdentity = ServiceSecurityContext.Current.WindowsIdentity;
        Console.WriteLine("AuthenticationType: " + OperationContext.Current.ServiceSecurityContext.PrimaryIdentity.AuthenticationType.ToString());
        Console.WriteLine("WindowsIdentity.GetCurrent(): {0}", WindowsIdentity.GetCurrent().Name);

        using (ServiceSecurityContext.Current.WindowsIdentity.Impersonate())
        {
            Console.WriteLine("WindowsIdentity.GetCurrent(): {0}", WindowsIdentity.GetCurrent().Name);
        }
        Console.WriteLine("Method called successfully!");
    }

Answer 1

Убедитесь, что вы указали

<system.web>
   <identity impersonate="true" />
   <authentication mode="Windows" />
   <authorization>
      <deny users="?" />
   </authorization>
</system.web>

Это гарантирует, что анонимный вход не разрешен.

Кроме того, если вы хотите передать свои кредиты службе WCF, вам необходимо использовать делегирование. Создайте поведение на своих веб-сайтах web.config следующим образом:

<behaviors>
  <endpointBehaviors>
    <behavior name="DelegationBehavior">
      <callbackDebug includeExceptionDetailInFaults="true" />
      <clientCredentials>
        <windows allowedImpersonationLevel="Delegation" />
      </clientCredentials>
    </behavior>
  </endpointBehaviors>
</behaviors>

и используйте его в своей конечной точке через behaviorConfiguration="DelegationBehavior".

Если это не работает, попробуйте добавить <serviceAuthenticationManager authenticationSchemes="IntegratedWindowsAuthentication" /> к тегу <serviceBehavior> в файле WCF web.config.

И не забудьте украсить ваши методы WCF:

[OperationBehavior(Impersonation = ImpersonationOption.Required)]

или, альтернативно, вы можете олицетворять каждый вызов с помощью дополнительного тега в <serviceBehavior>:

<serviceAuthorization impersonateCallerForAllOperations="true" />

В настоящее время у меня возникает другая проблема, но моя конфигурация, которая должна работать для вашего сценария, размещена здесь: Моя запись Stackoverflow

Я знаю, что это очень старый пост, но, надеюсь, это было полезно для кого-то, кто испытывает ту же проблему.

Answer 2

Похоже на проблему Double Hop Problem . В большинстве случаев сервер не может передать олицетворение учетных данных, полученных им по сети, другому хосту.

Вот сообщение в блоге , описывающее это явление более подробно.