具有外部信任的 WCF SSPI 失败 - 选择性与域范围-6ren

具有外部信任的 WCF SSPI 失败 - 选择性与域范围

转载作者：行者123 更新时间：2023-12-02 06:25:01

34

4

我在工作中遇到了一个问题，即我们使用 WCF 进行 SSO 的应用程序在与其他域通信时对域信任使用选择性身份验证失败。这是在服务器 2k8R2 机器上，它们的两个域都处于完整的 2k8R2 功能级别(这是一个测试系统，因为我们有一个客户想要部署这种类型的东西)。

基本上，我们有两个域，称它们为 A 和 B。当我们在域之间进行完整的双向外部(不是森林)信任时，应用程序工作正常(在将用户放入另一个域的适当组之后当然)。然后我们将关系从“全域”身份验证转变为“选择性身份验证”。根据我们阅读的一些文档，我们需要将用户直接添加到 AD 中的每台计算机的条目中，并赋予他们“允许验证”权限。

没用。

此外，然后我们在 ELSE 的某个地方看到暗示我们还必须授予他们对 DC 本身的相同权限。这样就完成了。再次失败。

应用抛出的异常如下(我转储到一个文件中)

A call to SSPI failed, see inner exception. Stacktrace: 
Server stack trace: 
   at System.ServiceModel.Channels.WindowsStreamSecurityUpgradeProvider.WindowsStreamSecurityUpgradeInitiator.OnInitiateUpgrade(Stream stream, SecurityMessageProperty& remoteSecurity)
   at System.ServiceModel.Channels.StreamSecurityUpgradeInitiatorBase.InitiateUpgrade(Stream stream)
   at System.ServiceModel.Channels.ConnectionUpgradeHelper.InitiateUpgrade(StreamUpgradeInitiator upgradeInitiator, IConnection& connection, ClientFramingDecoder decoder, IDefaultCommunicationTimeouts defaultTimeouts, TimeoutHelper& timeoutHelper)
   at System.ServiceModel.Channels.ClientFramingDuplexSessionChannel.SendPreamble(IConnection connection, ArraySegment`1 preamble, TimeoutHelper& timeoutHelper)
   at System.ServiceModel.Channels.ClientFramingDuplexSessionChannel.DuplexConnectionPoolHelper.AcceptPooledConnection(IConnection connection, TimeoutHelper& timeoutHelper)
   at System.ServiceModel.Channels.ConnectionPoolHelper.EstablishConnection(TimeSpan timeout)
   at System.ServiceModel.Channels.ClientFramingDuplexSessionChannel.OnOpen(TimeSpan timeout)
   at System.ServiceModel.Channels.CommunicationObject.Open(TimeSpan timeout)
   at System.ServiceModel.Channels.ServiceChannel.OnOpen(TimeSpan timeout)
   at System.ServiceModel.Channels.CommunicationObject.Open(TimeSpan timeout)
   at System.ServiceModel.Channels.ServiceChannel.CallOnceManager.CallOnce(TimeSpan timeout, CallOnceManager cascade)
   at System.ServiceModel.Channels.ServiceChannel.EnsureOpened(TimeSpan timeout)
   at System.ServiceModel.Channels.ServiceChannel.Call(String action, Boolean oneway, ProxyOperationRuntime operation, Object[] ins, Object[] outs, TimeSpan timeout)
   at System.ServiceModel.Channels.ServiceChannelProxy.InvokeService(IMethodCallMessage methodCall, ProxyOperationRuntime operation)
   at System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage message)

Exception rethrown at [0]: 
   at System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
   at System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
(A couple of calls in our own code below here)
InnerException: System.Security.Authentication.AuthenticationException: A call to SSPI failed, see inner exception. ---> System.ComponentModel.Win32Exception: Unknown error (0xc0000413)
   --- End of inner exception stack trace ---
   at System.Net.Security.NegoState.ProcessAuthentication(LazyAsyncResult lazyResult)
   at System.Net.Security.NegotiateStream.AuthenticateAsClient(NetworkCredential credential, String targetName, ProtectionLevel requiredProtectionLevel, TokenImpersonationLevel allowedImpersonationLevel)
   at System.ServiceModel.Channels.WindowsStreamSecurityUpgradeProvider.WindowsStreamSecurityUpgradeInitiator.OnInitiateUpgrade(Stream stream, SecurityMessageProperty& remoteSecurity)

所以，基本上就是这样。正在发生某种类型的“AuthorizationException”。正如我所说，当它是域范围的双向信任时，它不会发生，所以我们认为我们缺少一些设置来“重新启用”以使其工作。有没有人知道足够多的信任来为我们指出正确的方向来启用选择性身份验证并使 SSO/SSPI 为此工作？它确实已经在全域范围内工作，但我们必须开放什么才能使其有选择地工作(最好只为我们希望它工作的用户工作)？

谢谢。

最佳答案

在调用 Microsoft 后，问题得到了解决:我们没有为在主机上运行服务的许多用户设置“允许进行身份验证”权限。文档都提到必须向您的客户提供您正在访问的机器的权限(在某些情况下包括 DC)，但没有提到还必须将您的远程客户端添加到“安全”运行服务的主机用户的选项卡。

所以我将总结一些人为的用户名、域名和机器名，以及一个默认存在的实际服务帐户。

“A”域:客户端尝试连接的域“B”域:这是机器托管域 A 中的用户所连接的服务的域。Client@A:来自A域的用户连接到B域中的服务。ServiceAccount@B:来自托管 Client@A 连接到的 WCF 服务的 B 域的用户。krbtgt@B:这是一个内置用户，其描述为“Key Distribution Center Service Account”。只要您在“查看”菜单下启用了“高级功能”，它就会位于“用户”下的“Active Directory 用户和计算机”下。除非你这样做，否则它根本不会出现。B-DC:B域的域 Controller B 主机:我们正在连接的 WCF 服务的主机。

因此，要让 Client@A 连接到用户 ServiceAccount@B 在 B 主机上运行的 WCF 服务，使用 SSPI/Windows 身份验证，在具有选择性身份验证的外部信任上，您需要执行以下操作:

打开 AD 用户和计算机并在“查看”菜单下启用“高级功能”
找到 B-DC 对象(默认情况下在域 Controller 下，但如果您移动了它，也可以在其他地方)并打开“安全”选项卡。除非您在步骤 1 中启用了高级功能，否则该选项卡将不存在。将 Client@A 用户添加到组或用户名中，并确保为该用户选中“读取”和“允许验证”。
找到 B-host 对象(默认情况下在 Computers 下，但如果您移动了它也可以在其他地方)并打开“security”选项卡。除非您在步骤 1 中启用了高级功能，否则该选项卡将不存在。将 Client@A 用户添加到组或用户名中，并确保为该用户选中“读取”和“允许验证”。
在“用户”下找到 krbtgt@B 用户。如果不启用“高级功能”，则帐户本身将不可见。转到安全选项卡并添加已选中“允许进行身份验证”和“读取”权限的 Client@A 用户。
找到 serviceaccount@B 用户并执行与 krbtgt 相同的操作。

现在它应该可以工作了。奇怪的是，您需要所有这些只是为了像那样跨边界运行经过 Windows 身份验证(而不是证书)的 WCF 连接，但是就这样了。您需要将远程用户添加到 AD 中的四个不同对象才能使其正常工作。大概将远程用户添加到域 B 中具有正确权限的某些域本地组也可以，但尚未经过测试。

编辑:然后在不到一个小时的时间内让 krbtgt 被具有 AdminSDHolder 权限的 PDC 模拟器覆盖。每小时。

基本上，krbtgt 受到了 super 保护。您必须更改 AdminSDHolder，它传播了很多。添加 JUST“允许进行身份验证”的命令是:

dsacls "[DN of object]" /g "[groupname]:ca;allowed to authenticate"

如果您想了解有关其功能的更多信息，请查找“dsacls”工具。这对于更改访问控制列表和打印出来都非常方便。事实上比 GUI 更好。

无论如何，这现在确实有效了。有完整的答案。

关于具有外部信任的 WCF SSPI 失败 - 选择性与域范围，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/2320857/

34

4

0

文章推荐： php - 处理数组的内容

文章推荐：隔离模式下的 Azure Functions - 如何创建 HTTP 触发器

文章推荐：使用 .NET Core Web API 进行 Azure AD 身份验证

文章推荐： php - 为什么在 Restful 实现中使用 $_SESSION 不好？

Oracle 选择性/基数
根据这个: Selectivity is the value between 0 and 1, and it is the fraction of rows returned after applyi
C 选择性#define
我想知道C是否允许设置选择性#define。这就是我所说的选择性:如果我定义了一个结构: typedef struct mystruct{ int (*pointer_function)(struc
python - 选择性 python 字符串替换
我正在尝试替换 pi与 math.pi使用以下 Python 函数。 def cleanup(x): return x.replace("pi", "math.pi") 我有以下字符串: a =
javascript - 可选(选择性)流程检查
有没有一种方法可以只对类型声明可用的代码执行流程检查？有一种方法可以启用每个文件的检查( header 中的 //@flow)，但是一旦设置，代码的所有部分都需要类型声明(否则会记录错误，如“108
c++ - Opengl 选择性 glClipPlane
我在 openGL (openGl 1.1 win32) 中绘制了一个场景。我使用 glClipPlane 隐藏前景对象以允许用户查看/编辑距离部分。选择是在 native 完成的，无需使用 ope
css - 选择性 CSS 规则
我正在开发允许第三方上传 HTML 片段的服务。在其中一些片段中，可能有指向 CSS 文件或内联 CSS 的链接。该服务有自己的 CSS 文件。除了 iFrame 之外，还有什么方法可以让我指示特定
c# - 选择性 POCO 属性
假设我有下面列出的用于通过 Web 服务将数据传递给客户端的类(类已简化): public class Customer { public int CustomerId { get; set;
java - 选择性 API Javadoc
我肯定有一个相当普遍的文档需求...... 我正在实现一个相当大的 Java 库代码库，除其他外，它包含各种类，这些类旨在在适当的抽象级别上公开给调用者/实现者。同时，代码库当然包含库的用户在使用 A
java - 选择性 jar 装
我有我的小 program.jar，它使用了巨大的 library.jar 的一小部分。是否有一种工具可以将几个 jar 重新打包成一个，以便它可以独立运行并且尽可能小？更新:大小很重要。最佳答
php - CakePHP - 选择性 SSL
如何为站点的某些部分强制使用 HTTPS，例如登录页面或注册页面，并为站点的其余部分使用 HTTP？最佳答案我最喜欢的强制转换为 https 的方法是将其作为您的 php 脚本中的第一件事。它适用
ruby - 选择性 Ruby 数组切片
我一直在慢慢学习 Ruby(在这一点上，这可能是我投入大量时间实际学习的第一门语言)所以这对你们中的许多人来说可能是一个非常简单的问题。我的学习玩具项目基本上是一个 roguelike。目前，我有一
php - Symfony2 选择性 ESI 缓存
我正在使用Liip Cache Control bundle处理项目中的缓存。通过使用此捆绑包，您可以像这样配置缓存: liip_cache_control: rules: -
javascript - 选择性 frame-busting Javascript
在上个月的某个时候，一个随机网站决定在一个框架中为我公司的网站提供服务。忽略“他们在做什么？”的问题。一分钟，我使用了一些简单的 frame-buster Javascript: if (top.l
python - 选择性 Numpy 数组操作(取决于值)
假设我有以下 Numpy 数组: array([[3, 5, 0], [7, 0, 2]]) 我现在想在值不为 0 的地方加 2。最快的方法是什么？我必须操纵相当大的多维数组？最佳答案在我看来:
git - 选择性 Git pull 请求
我是 git 的新手，我正尝试在 Github 项目上进行协作。我 fork 了一个项目，添加了功能，并根据自己的需要移植到了 Android。添加的功能需要在基础项目中，而不是 android 相关
video - 选择性 "Unkown encoder libfdk_aac"消息
在以下两个命令中，第二个抛出异常说“未知编解码器 libfdk_aac”。谁能指出我，可能是什么问题？ $> ffmpeg -loglevel verbose -re -i /var/mp4s/tes
opengl - 选择性 nvidia #pragma optionNV(全部展开)
我正在尝试 nvidia 的展开循环指令，但还没有找到有选择地打开它的方法。假设我有这个... void testUnroll() { #pragma optionNV(unroll all
git-flow finish release - 选择性 merge
我们公司最近开始使用git-flow，我们遇到了以下问题: 我们有一个控制应用程序日志级别的 DEV_MODE bool 值，我们希望开发分支始终具有 DEV_MODE=true。但是，在发布版本时
python - 选择性 Pandas dropna 使 DataFrame 的长度不同
我试图在我的 DataFrame df 中删除 nan 值，但是我很难在不影响整行的情况下删除每一列。下面是我的 df 示例。 Advertising No Advertising nan
android - 选择性 Google Play 服务 API 找不到类
我已将播放服务更新到最新版本，目前为 9.2.0，我还想为谷歌播放服务使用选择性模块。 // compile 'com.google.android.gms:play-services:9.2.

首页

博学

6Ren·AI

商城

具有外部信任的 WCF SSPI 失败 - 选择性与域范围