Клиент WCF не может договориться о безопасном доступе со службой, работающей на другом компьютере

Question

Я пытаюсь разместить службу WCF с привязкой "wsDualHttpBinding". Когда я запускаю свой клиент и службу (размещенную в IIS) с одной и той же машины, она работает нормально. Но когда я размещаю службу на другом компьютере, мой клиент не может зарегистрироваться в службе. Идут следующие ошибки ...

[System.ServiceModel.Security.SecurityNegotiationEception] Звонящий не был аутентифицирован сервис. И внутреннее исключение: запрос на токен безопасности не может быть удовлетворенным, потому что аутентификация не удалось.

При попытке запустить с другого компьютера в другой рабочей группе появляется следующая ошибка

"Клиент не может завершить переговоры по безопасности в рамках настроенное время (00:00:00) "

В IIS6.0 я отключил встроенную аутентификацию и разрешил анонимный доступ.

Web-конфигурация моей службы:

---

<system.serviceModel>
    <diagnostics>
        <messageLogging logMalformedMessages="true" logMessagesAtServiceLevel="true" logMessagesAtTransportLevel="true"/>
    </diagnostics>
    <bindings>
        <wsDualHttpBinding>
            <binding name="StatTickerHttpBinding" bypassProxyOnLocal="false" useDefaultWebProxy="true" receiveTimeout="23:59:59">
                <reliableSession ordered="true" inactivityTimeout="00:30:00"/>
            </binding>
        </wsDualHttpBinding>
    </bindings>
    <services>
        <service name="StatTickerService" behaviorConfiguration="ServiceBehavior">
            <!-- Service Endpoints -->
            <endpoint address="" binding="wsDualHttpBinding" bindingConfiguration="StatTickerHttpBinding" contract="IBroadCastService">
                <!-- 
              Upon deployment, the following identity element should be removed or replaced to reflect the 
              identity under which the deployed service runs.  If removed, WCF will infer an appropriate identity 
              automatically.

                    <identity>
                        <dns value="localhost"/>
                    </identity> -->
            </endpoint>
            <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange"/>
        </service>
    </services>
    <behaviors>
        <serviceBehaviors>
            <behavior name="ServiceBehavior">
                <!-- To avoid disclosing metadata information, set the value below to false and remove the metadata endpoint above before deployment -->
                <serviceMetadata httpGetEnabled="true"/>
                <!-- To receive exception details in faults for debugging purposes, set the value below to true.  Set to false before deployment to avoid disclosing exception information -->
                <serviceDebug includeExceptionDetailInFaults="false"/>
            </behavior>
        </serviceBehaviors>
    </behaviors>
</system.serviceModel>

---

Мой клиент App.Config следует ...

---

<system.serviceModel>
    <bindings>
        <wsDualHttpBinding>
            <binding name="WSDualHttpBinding_StatTickerBroadcastService" 
                closeTimeout="00:01:00" openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00" 
                bypassProxyOnLocal="false" transactionFlow="false" hostNameComparisonMode="StrongWildcard" 
                maxBufferPoolSize="524288" maxReceivedMessageSize="65536" 
                messageEncoding="Text" textEncoding="utf-8" useDefaultWebProxy="true">
                <readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384" 
                    maxBytesPerRead="4096" maxNameTableCharCount="16384"/>
                <reliableSession ordered="true" inactivityTimeout="00:30:00"/>
                <security mode="Message">
                    <message clientCredentialType="Windows" negotiateServiceCredential="true" algorithmSuite="Default"/>
                </security>
            </binding>
        </wsDualHttpBinding>
    </bindings>
    <client>
        <endpoint address="http://192.168.100.77/TPS.StatTicker.WCFservice/Service.svc" binding="wsDualHttpBinding" 
            bindingConfiguration="WSDualHttpBinding_StatTickerBroadcastService" 
            contract="BroadcastGateway.StatTickerBroadcastService" 
            name="WSDualHttpBinding_StatTickerBroadcastService">
            <identity>
                <servicePrincipalName value="host/192.168.100.77"/>
            </identity>
        </endpoint>
    </client>
</system.serviceModel>

---

Конфигурация на стороне клиента выполняется с помощью svcutil.

Я искал и пробовал все решения, данные в гугле за последние 4 дня, но не повезло. Пожалуйста, помогите срочно.

Answer 1

Если я понимаю вашу проблему, похоже, у вас проблемы с делегированием.

Вот что я думаю, вы пытаетесь сделать:

• Пользователь подключается к веб-сервису
• Пользователь аутентифицируется с помощью Windows-аутентификации (kerberos)
• Веб-сервер олицетворяет пользователя
• Веб-сервер подключается к бэкенду через WCF
• Веб-сервер аутентифицируется с помощью бэкэнда, используя учетные данные пользователя (kerberos)
• Бэкэнд принимает учетные данные и передает данные

Что должно произойти, так это то, что ваш бэкэнд должен доверять вашему веб-серверу, чтобы он действовал от вашего имени, называемый делегированием. Это контролируется доменом и не предоставляется бесплатно.

Если оба компьютера находятся в одном домене, контроллер домена должен настроить веб-сервер так, чтобы он мог делегировать пользователям. Без этого никакие машины в сети не будут доверять вашему веб-серверу, действующему от имени пользователя. Если все это происходит на одной и той же машине, оно выполняет свою делегацию.

Если бы обе машины были в рабочей группе, я не знаю, что бы вы сделали.

Answer 2

Попробуйте это:

<identity>
    <servicePrincipalName value=""/>
</identity>

Answer 3

Я думаю, вам нужно указать безопасность «none» в web.config сервера. В противном случае он по умолчанию будет настаивать на механизме аутентификации.