Что значит иметь тип удостоверения DNS с аутентификацией Windows?

Question

Что означает на высоком уровне указание удостоверения DNS при использовании проверки подлинности Windows для службы WCF?Например:

<configuration>
<system.serviceModel>
  <bindings>
    <wsHttpBinding>
      <binding name="WSHttpBinding_ICalculator_Windows">
        <security>
          <message clientCredentialType="Windows"/>
        </security>
      </binding>
    </wsHttpBinding>
  </bindings>
  <client>
    <endpoint address="http://localhost:8003/servicemodelsamples/service/dnsidentity"
      binding="wsHttpBinding"
      bindingConfiguration="WSHttpBinding_ICalculator_Windows"
      contract="ICalculator"
      name="WSHttpBinding_ICalculator">
      <identity>
        <dns value="contoso.com" />
      </identity>
    </endpoint>
  </client>
</system.serviceModel>
</configuration>

Эта страница говорит:

В этом случае, когда клиент получает учетные данные Windows (Kerberos) для службы, оножидает, что значение будет contoso.com.

Я действительно не понимаю этого.Как значение учетных данных для службы может быть contoso.com?Что это означает под учетными данными?

Проверяет ли он также, что действительное DNS-имя службы действительно contoso.com?В противном случае, что помешает кому-то написать мошенническую службу WCF, которая сообщает, что ее личность - contoso.com?

Answer 1

Если я не ошибаюсь, contoso.com используется для разрешения имени участника-службы для Kerberos.SPN посмотрел бы на http / contoso.com: 8003.Это имя участника-службы будет сопоставлено в Active Directory с учетной записью службы.Билет Kerberos будет зашифрован с использованием учетных данных учетной записи службы.

Answer 2

Я понимаю, что это старый вопрос, но я обнаружил, что в автономном сервисе с привязками tcp с транспортом Windows клиент, похоже, не уважает настройки SpnIdentity, только настройки DnsIdentity.Проверьте здесь: аутентификация сервера wcf без сертификатов для получения дополнительной информации и / или комментариев.