gpt4 book ai didi

除非客户端和服务器使用相同的 Windows 身份,否则使用 sspi 的 WCF Net.tcp 会失败

转载 作者:行者123 更新时间:2023-12-03 00:24:03 26 4
gpt4 key购买 nike

我有一个由 Windows 服务托管的 WCF 服务。如果我使用与运行服务时相同的凭据登录到客户端计算机,客户端应用程序会成功,但如果我使用任何其他有效的域帐户登录,客户端应用程序会失败并出现异常。

我正在测试两个帐户,一个是普通用户帐户,另一个帐户是管理员帐户。我已经尝试了下面列出的所有四种组合:

                   Server account
CLient RegUser AdminAcct
RegUser Succeeds Fails
AdminAcct Fails Succeeds

正如您所看到的,这不可能是管理员问题,因为当客户端和服务器都在非管理员帐户下运行时系统才能工作。在这两种失败的情况下,我在客户端上都会遇到相同的异常,但服务器日志中没有任何迹象表明发生了任何事情:

"A call to SSPI failed. see inner exception"

内部异常是“目标原理名称不正确。”

我已将帐户注册为 SPN。

此问题仅出现在我的客户端应用程序中,但当我使用 Visual Studio 附带的 WCVFTestClient.exe 时不会出现该问题。

WCF 跟踪日志中的异常是

"System.ServiceModel.Security.SecurityNegotiationException, System.ServiceModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"

有一条消息:

“远程端身份验证失败(该流可能仍可用于其他身份验证尝试)。”

堆栈跟踪位于底部:出了什么问题?

堆栈跟踪

<小时/>

System.ServiceModel.Channels.WindowsStreamSecurityUpgradeProvider.WindowsStreamSecurityUpgradeAcceptor.OnAcceptUpgrade(Stream stream, SecurityMessageProperty& remoteSecurity) System.ServiceModel.Channels.StreamSecurityUpgradeAcceptorBase.AcceptUpgrade(Stream stream) System.ServiceModel.Channels.InitialServerConnectionReader.UpgradeConnection(IConnection connection, StreamUpgradeAcceptor upgradeAcceptor, IDefaultCommunicationTimeouts defaultTimeouts) System.ServiceModel.Channels.ServerSessionPreambleConnectionReader.ServerFramingDuplexSessionChannel.OnOpen(TimeSpan timeout) System.ServiceModel.Channels.CommunicationObject.Open(TimeSpan timeout) System.ServiceModel.Dispatcher.ChannelHandler.OpenAndEnsurePump() System.Runtime.ActionItem.DefaultActionItem.TraceAndInvoke() System.Runtime.ActionItem.CallbackHelper.InvokeWithoutContext(Object state) System.Runtime.IOThreadScheduler.ScheduledOverlapped.IOCallback(UInt32 errorCode, UInt32 numBytes, NativeOverlapped* nativeOverlapped) System.Runtime.Fx.IOCompletionThunk.UnhandledExceptionFrame(UInt32 error, UInt32 bytesRead, NativeOverlapped* nativeOverlapped) System.Threading._IOCompletionCallback.PerformIOCompletionCallback(UInt32 errorCode, UInt32 numBytes, NativeOverlapped* pOVERLAP)

最佳答案

找到答案了。我的问题是两个因素的结合。

  1. 使用 net.tcp 二进制 WCF 协议(protocol)时,客户端安全模式确定是使用 NTLM 还是 Kerberos 进行身份验证。如果将客户端安全模式设置为“传输”,身份验证将使用 NTLM,并且只能进行一跳。如果您尝试让 WCF 服务器与第三个服务器(例如数据库)通信,它将失败。使用SecurityMode =“Message”,otoh,导致WCF服务器使用Kerberos,它允许多个跃点...

  2. 第二个问题与我在绑定(bind)中在客户端上执行的操作有关。 WCF协议(protocol)net.tcp要求在客户端实例化端点时,必须指定一个“端点标识”(参见下面的代码)。我错误地认为这在某种程度上与身份验证有关,因此是客户端上当前登录用户(Windows 主体)的身份。

        var epId = EndpointIdentity.CreateUpnIdentity(userPrincipalName);
    var ep = new EndpointAddress(new Uri(url), epId):

    否...在客户端上创建端点时必须指定的身份必须是服务器运行时使用的身份。这就是为什么每当我使用与服务运行时相同的用户登录到客户端时代码就可以工作,而当客户端是不同的用户时代码就会失败。

    我仍然不明白为什么必须在客户端的端点中指定(服务帐户的)用户身份。服务器上的什么功能需要这些数据?

关于除非客户端和服务器使用相同的 Windows 身份,否则使用 sspi 的 WCF Net.tcp 会失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15605688/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com