Служба WCF, размещенная в IIS, и SQL-запросы с использованием аутентификации Windows - PullRequest
Новая
       10

Служба WCF, размещенная в IIS, и SQL-запросы с использованием аутентификации Windows

6 голосов
/ 24 января 2012

Я довольно новичок в WCF, но у меня есть служба WCF, размещенная в IIS, которая имеет несколько запросов к нашему SQL Server. Я использую службу WCF с приложением WPF. Я пытаюсь разрешить прохождение проверки подлинности Windows от клиента WPF, к службе WCF, к серверу SQL Server, чтобы запросы SQL выполнялись как пользователь клиента. Я пытался настроить веб-сайт и хостинг различными способами, но пока безуспешно.

На моем веб-сайте службы WCF у меня установлена ​​анонимная аутентификация = true (для MEX), ASP.NET Impersonation = true и Windows Authentication = true.

В моей службе WCF Web.config: 

<configuration>
  <system.web>
    <customErrors mode="Off"/>
    <authentication mode="Windows"/>
    <compilation debug="true" targetFramework="4.0">
      <assemblies>
        <add assembly="System.Data.Entity, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
      </assemblies>
    </compilation>
  </system.web>
  <system.serviceModel>
    <bindings>
      <wsHttpBinding>
        <binding maxReceivedMessageSize="5000000" name="WindowsSecurity">
          <readerQuotas maxDepth="200"/>
          <security mode="Transport">
            <transport clientCredentialType="Windows" />
          </security>
        </binding>
      </wsHttpBinding>
    </bindings>
    <services>
      <service name="ADATrackingService" behaviorConfiguration="ServiceBehavior">
        <endpoint address="" binding="wsHttpBinding" bindingConfiguration="WindowsSecurity"
          name="wsHttpEndpoint" contract="IADATrackingService" />
        <endpoint address="mex" binding="mexHttpsBinding" name="MexHttpsBindingEndpoint"
          contract="IMetadataExchange" />
      </service>
    </services>
    <behaviors>
      <serviceBehaviors>
        <behavior name="ServiceBehavior">
          <serviceMetadata httpGetEnabled="false" httpsGetEnabled="true" />
          <serviceDebug includeExceptionDetailInFaults="true" />
          <serviceAuthorization impersonateCallerForAllOperations="true" />
        </behavior>
      </serviceBehaviors>
    </behaviors>
    <serviceHostingEnvironment multipleSiteBindingsEnabled="true" />
  </system.serviceModel>
  <system.webServer>
    <modules runAllManagedModulesForAllRequests="true" />
  </system.webServer>
  <connectionStrings>
    <add name="ADATrackingEntities" connectionString="metadata=res://*/EntityModel.ADATrackingModel.csdl|res://*/EntityModel.ADATrackingModel.ssdl|res://*/EntityModel.ADATrackingModel.msl;provider=System.Data.SqlClient;provider connection string=&quot;data source=MYSERVER;initial catalog=ADATracking;integrated security=True;multipleactiveresultsets=True;App=EntityFramework&quot;" providerName="System.Data.EntityClient" />
  </connectionStrings>
</configuration>

Тогда в моем WPF-клиенте App.Config у меня есть: 

<configuration>
    <system.serviceModel>
      <behaviors>
        <endpointBehaviors>
          <behavior name="WindowsAuthentication">
            <clientCredentials>
              <windows allowedImpersonationLevel="Delegation"/>
            </clientCredentials>
          </behavior>
        </endpointBehaviors>
      </behaviors>
        <bindings>
            <wsHttpBinding>
                <binding name="wsHttpEndpoint" closeTimeout="00:01:00" openTimeout="00:01:00"
                    receiveTimeout="00:10:00" sendTimeout="00:01:00" bypassProxyOnLocal="false"
                    transactionFlow="false" hostNameComparisonMode="StrongWildcard"
                    maxBufferPoolSize="524288" maxReceivedMessageSize="5000000"
                    messageEncoding="Text" textEncoding="utf-8" useDefaultWebProxy="true"
                    allowCookies="false">
                    <readerQuotas maxDepth="200" maxStringContentLength="8192" maxArrayLength="16384"
                        maxBytesPerRead="4096" maxNameTableCharCount="16384" />
                    <reliableSession ordered="true" inactivityTimeout="00:10:00"
                        enabled="false" />
                    <security mode="Transport">
                        <transport clientCredentialType="Windows" proxyCredentialType="None"
                            realm="" />
                        <message clientCredentialType="Windows" negotiateServiceCredential="true" />
                    </security>
                </binding>
            </wsHttpBinding>
        </bindings>
        <client>
            <endpoint address="https://MyService.svc"
                binding="wsHttpBinding" behaviorConfiguration="WindowsAuthentication" bindingConfiguration="wsHttpEndpoint"
                contract="ADATrackingService.IADATrackingService" name="wsHttpEndpoint">
                <identity>
                    <servicePrincipalName value="host/MyServer.com" />
                </identity>
            </endpoint>
        </client>
    </system.serviceModel>
</configuration>

Мои сервисные вызовы просто возвращают простые запросы из SQL, используя метаданные для разрешения олицетворения. Каждый раз, когда я запускаю клиент и вызываю что-то из своего сервиса, я просто получаю сообщение об ошибке при открытии подключения к данным для «NT Authority / ANONYMOUS LOGIN», даже если AnonymousAuthentication = false установлено в IIS ??? Любая помощь будет принята с благодарностью. Спасибо! 

[OperationBehavior(Impersonation = ImpersonationOption.Required)]
public List<IndividualDisability> GetIndividualDisabilities()
{
    WindowsIdentity callerWindowsIdentity = ServiceSecurityContext.Current.WindowsIdentity;
    if (callerWindowsIdentity == null)
    {
        throw new InvalidOperationException
         ("The caller cannot be mapped to a Windows identity.");
    }
    using (callerWindowsIdentity.Impersonate())
    {
        using (var context = new ADATrackingEntities())
        {
            return context.IndividualDisabilities.OfType<IndividualDisability>().Include("ADACode").Include("Individual").Include("Disability").ToList();
        }
    }
}

Ответы [ 2 ]

5 голосов
/ 26 января 2012

Ну, после просмотра еще немного сегодня.Я наконец получил это работает!Проблема заключалась в том, что в активном каталоге мне нужно было разрешить делегирование на окно SQL Server.В AD есть настройка, которую вы должны установить в окне веб-сервера, чтобы разрешить ему делегировать службу SQl на вашем сервере SQl Server через порт 1433. Я также должен был убедиться, что я настроен для аутентификации kerebos на веб-сервере.Этот пост в блоге объяснил мою ситуацию точно и помог мне заставить ее работать от начала до конца:

Олицетворение ASP.Net

0 голосов
/ 24 января 2012

В IIS вы явно удалили анонимную аутентификацию? Сделайте следующее:

  1. Откройте диспетчер IIS.
  2. Перейдите в приложение-службу WCF.
  3. В представлении функций в разделе IIS нажмите Аутентификация.
  4. Удалите все схемы проверки подлинности, кроме проверки подлинности Windows. (Аноним включен по умолчанию.)

Чтобы убедиться, что ваше приложение WPF никоим образом не мешает, сначала протестируйте с помощью wcftestclient.

  1. Открытие командного окна для разработчиков (меню Пуск> Программы> Microsoft Visual Studio 2010> Инструменты Visual Studio> Командная строка Visual Studio (2010))
  2. wcftestclient https://url.to/myservice.svc
...