не удалось согласовать безопасность привязки Soap netTCP


Я пишу службу WCF, требующую олицетворения и сеанса.

Это нормально, когда я пытался вызвать его на моей локальной машине, но на удаленной машине он всегда терпел неудачу с такой ошибкой:

Сбой проверки подлинности интерфейса поставщика поддержки безопасности (SSPI). Сервер может не работать в учетной записи с идентификатором "хост/имя хоста". Если сервер работает в учетной записи службы (например, сетевой службы), укажите ServicePrincipalName учетной записи в качестве идентификатора в конечный адрес для сервера. Если сервер работает в учетной записи пользователя, укажите UserPrincipalName учетной записи в качестве идентификатора в EndpointAddress для сервера.

Если я предоставил УПН, он кидает тож не исключение.

Вот мой конфиг:

Конфигурация сервера (приложение):

<system.serviceModel>    
    <behaviors>
      <serviceBehaviors>
        <behavior name="default">
          <serviceMetadata httpGetEnabled="true" />
          <serviceDebug includeExceptionDetailInFaults="true" />
          <serviceAuthorization impersonateCallerForAllOperations="true" />
        </behavior>
      </serviceBehaviors>
    </behaviors>
    <bindings>
      <netTcpBinding>
        <binding name="DataService.netTcpBinding">
          <readerQuotas maxArrayLength="65535" maxBytesPerRead="2147483647" maxStringContentLength="2147483647"/>
          <reliableSession enabled="true" inactivityTimeout="24:00:00" ordered="true"/>          
          <security mode="TransportWithMessageCredential">
            <message clientCredentialType="Windows" />
            <transport clientCredentialType="Windows"/>          
          </security>
        </binding>
      </netTcpBinding>
    </bindings>
    <serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true"/>
    <services>
      <service behaviorConfiguration="default" name="DataService.DataService">
        <endpoint address="" binding="netTcpBinding" bindingConfiguration="DataService.netTcpBinding" 
          name="DataService.DataService" contract="DataService.IDataService"/>
        <endpoint address="mex" binding="mexTcpBinding" contract="IMetadataExchange" />
        <host>
          <baseAddresses>
            <add baseAddress="http://address:4504/"/>
            <add baseAddress="net.tcp://address:4503/"/>
          </baseAddresses>
        </host>
      </service>
    </services>
</system.serviceModel>

Конфигурация Клиента:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
    <system.serviceModel>     
        <bindings>
            <netTcpBinding>
                <binding name="DataService.DataService" closeTimeout="00:01:00"
                    openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00"
                    transactionFlow="false" transferMode="Buffered" transactionProtocol="OleTransactions"
                    hostNameComparisonMode="StrongWildcard" listenBacklog="10"
                    maxBufferPoolSize="524288" maxBufferSize="65536" maxConnections="10"
                    maxReceivedMessageSize="65536">
                    <readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
                        maxBytesPerRead="4096" maxNameTableCharCount="16384" />
                    <reliableSession ordered="true" inactivityTimeout="24.00:00:00"
                        enabled="true" />
                    <security mode="TransportWithMessageCredential">
                        <transport clientCredentialType="Windows" protectionLevel="EncryptAndSign" />
                        <message clientCredentialType="Windows" algorithmSuite="Default" />
                    </security>
                </binding>
            </netTcpBinding>
        </bindings>
        <client>
            <endpoint address="net.tcp://address:4503/" binding="netTcpBinding"
                bindingConfiguration="DataService.DataService"
                contract="ataService.IDataService" name="DataService.DataService">
              <identity>
                <dns value="DOMAIN"/>                                                  
              </identity>
            </endpoint>
        </client>
    </system.serviceModel>
</configuration>
Любая помощь будет весьма признательна.
2   16   2012-03-13 15:34:17

2 ответа:

Службы Windows регистрируют себя либо с именем участника-пользователя, либо с именем участника-службы (документация). Если служба выполняется под учетной записью LocalSystem, LocalService или NetworkService, имя участника-службы (SPN) создается по умолчанию в виде host/, поскольку эти учетные записи имеют доступ к данным SPN компьютера. Если служба выполняется под другой учетной записью, Windows Communication Foundation (WCF) создает UPN в виде @. " на самом деле, эта цитата довольно похожа на то, что говорится в вашем сообщении об ошибке. Похоже, что так...

A) если служба работает под учетной записью локальной службы или аналогичной Стандартной учетной записью, то вам необходимо настроить файл конфигурации вашего клиента , где фактическое имя сервера - "адрес", а конечная точка работает на порту 4503:

<identity>
     <servicePrincipalName value="host/address:4503" />
</identity>

B) с другой стороны, если вы работаете под учетной записью выделенной службы (назовем ее "ServiceAccount" на домене "MyDomain"), то требуется

<identity>
     <userPrincipalName value="ServiceAccount@MyDomain" />
</identity>
Обратите внимание, что в обоих случаях может потребоваться использовать полное доменное имя, включая уровни леса и дерева. Для простого домена внутри вашей частной локальной / глобальной сети это будет означать адрес.Мойдомен.местных и с помощью параметра serviceaccount@Мой_домен.местный. Если ваш домен находится в дереве под названием MyTree, то это будет ServiceAccount@MyDomain.Майтри.местный; если это в лесу под названием MyForest, то это будет Serviceaccount@MyDomain.Майтри.Мой лес.локальный (и аналогичный для ServicePrincipalName). Полное имя необходимо , когда вы используете Kerberos для аутентификации.

Существует также грязный хак, как опубликовано здесь, здесь , и здесь , и проанализировал здесь .

Можно указать фиктивное имя участника - службы (SPN). В этом случае WCF не подведет, Но вернемся к NTLM для аутентификации, которая не проверяет принципала.

Итак, конфигурация:

    <identity>
      <servicePrincipalName value="dummy" >
    </identity>

И программно

    EndpointIdentity identity = EndpointIdentity.CreateSpnIdentity("dummy");

Использование ChannelFactory:

    Uri uri = new Uri("net.tcp://<myServer>:<myPort>/myServiceAddress");
    ChannelFactory channelFactory = new ChannelFactory<IMyContract>(new NetTcpBinding());
    channelFactory.CreateChannel(new EndpointAddress(uri, identity)

Также будет работать.