Служба WCF, размещенная на IIS, и веб-сайт клиента на IIS.

Question

Вот требуемая настройка:

• Служба с wsHttpBinding работает на IIS 6 на компьютере 1 за брандмауэром.
• Клиент является интерфейсным веб-сайтом на IIS 6 на компьютере 2 на компьютереDMZ.

В настоящее время мы можем аутентифицировать клиента с использованием аутентификации Windows, но с олицетворением

<identity impersonate="true" userName="OurCompany\Me" password="Blahblahblah" />

, поскольку веб-сайт будет использовать «ASPNET» в качестве имени пользователя, что не являетсяв домене.

Теперь мы хотим отойти от этого метода из-за проблем безопасности;мы не хотим выставлять такую ​​информацию на DMZ.

1. Есть ли способ правильно пройти аутентификацию без использования олицетворения в конфигурации клиента?

2. Если мы изменились, чтобы использовать аутентификацию по сертификатуПовлияет ли это на операции службы, требующие олицетворения (например, олицетворения для доступа к файлам в сети)?

спасибо.

Answer 1

Это уже решено, и я думаю, что было бы конструктивно поделиться решениями.

С точки зрения моего первоначального вопроса - может ли он выполнять олицетворение, не устанавливая его явно в конфигурации или в коде переднего конца. Как упоминалось выше, метод пула приложений работает, но только когда клиент и сервер находятся в одном домене.

Поскольку клиент веб-сайта, находящийся в демилитаризованной зоне, вообще не имеет доступа к локальной сети, это означает, что мы не можем выдать себя за любого пользователя сети (это мой недостаток в моем первоначальном вопросе о том, что олицетворение работает - это было не работает).

Таким образом, единственный способ - использовать сертификат. Поскольку это внутренняя связь, я сгенерировал тестовый сертификат на каждой стороне сервера / клиента с помощью makecert. Используя проверки подлинности сертификата равноправного доверия, я могу установить связь между клиентом и сервером. Это обеспечит отсутствие информации об учетной записи пользователя Windows / сети в зоне DMZ.