Я видел много сообщений о проблеме двойного перехода WCF с олицетворением, но ни одна из них не помогла мне решить мою проблему.

Что мне не хватает? Что еще мне нужно сделать, чтобы сохранить моего олицетворенного пользователя (DOMAIN \ UserName) в Сервисе 2? Я смотрю ServiceSecurityContext.Current.WindowsIdentity.Name, чтобы подтвердить - возможно, это неправильно.

Настройка:

  1. Клиентское приложение, размещенное на локальном хосте IIS, со ссылкой на службу 1 - олицетворение WindowsIdentity (DOMAIN \ UserName)
  2. Служба 1 - служба WCF, размещенная на локальном хосте IIS, со ссылкой на службу 2
  3. Служба 2 - Служба WCF, размещенная на локальном хосте IIS

Я использую ВСЕ basicHttpBindings, чтобы упростить задачу. Я установил SPN на обеих конечных точках службы.

  • Я могу успешно СДЕЛАТЬ двойной прыжок, и код работает нормально
  • В службе 1 (переход 1) мой ServiceSecurityContext.Current.WindowsIdentity - это человек, которого я олицетворял (DOMAIN \ UserName)
  • В службе 2 (переход 2) мой ServiceSecurityContext.Current.WindowsIdentity является пользователем пула приложений IIS.
  • ImpersonationLevel = "Делегирование"
  • В обеих службах WCF включена проверка подлинности Windows и отключена анонимность.

** Примечание: я запускаю все это локально на своем компьютере разработчика. Тем не менее, у меня установлен уровень делегирования, позволяющий делегировать от себя самому себе. Может быть, перебор.

Связывание (аналогично для обоих сервисов):

<binding name="...">
    <security mode="TransportCredentialOnly">
         <transport clientCredentialType="Windows" />
    </security>
</binding>

Я установил impersonationLevel = "Delegation" как для клиента службы WCF, так и для конфигурации поведения конечной точки службы. Мои методы обслуживания специально украшены impersonationOption = "Allowed" (переход 1) и impersonationOption "Required" (переход 2).

wcf iis impersonation identity-delegation
2
chrisriesgo 19 Мар 2013 в 03:22
Можно ли показать код или конфигурацию, относящуюся к тому, как вы настроили олицетворение?
 – 
EdmundYeung99
19 Мар 2013 в 04:31
Привет, Эдмунд. Я добавил базовую конфигурацию привязки. В частности, что еще вам было бы интересно увидеть?
 – 
chrisriesgo
19 Мар 2013 в 04:46
Где вы настраиваете уровень олицетворения?
 – 
EdmundYeung99
19 Мар 2013 в 07:43
Пожалуйста, посмотрите мои последние правки
 – 
chrisriesgo
19 Мар 2013 в 14:03

1 ответ

Лучший ответ

Как оказалось, критически важной частью в моем случае было обеспечение установки следующего атрибута поведения:

<serviceAuthorization impersonateCallerForAllOperations="true" />

Раньше, когда я устанавливал это значение, я получал ошибки в Entity Framework, поэтому я отменил настройку. Похоже, что где-то в процессе согласования моей настройки со стандартной реализацией (как описано в других сообщениях о varios) я смог в конечном итоге установить этот атрибут и заставить его работать, как ожидалось.

Редактировать: Если все это работает локально, но не работает в распределенной среде, ознакомьтесь с этим сообщением: Как исправить проблему двойного перехода Kerberos?. Вероятно, вам нужно настроить машины на доверительное делегирование друг другу.

1
Community 23 Май 2017 в 15:04
1
Что это добавило к услуге 1 или услуге 2?
 – 
Cᴏʀʏ
12 Сен 2013 в 00:10
Сервис 2 и 1 в моем случае. См. Также мои дополнительные примечания к ответам. Вы можете столкнуться со второй проблемой.
 – 
chrisriesgo
12 Сен 2013 в 04:18

Похожие вопросы

1 Доступ к настройкам web.config с использованием олицетворения WCF с привязкой net.tcp
1 Олицетворение в службе WCF и распространение на COM-объект
1 Олицетворение в службе WCF, размещенной в SharePoint 2010 с проверкой подлинности на основе утверждений
1 Олицетворение с помощью IIS7, WCF Rest, настраиваемый модуль аутентификации
1 SharePoint 2013/IIS 7.5 Олицетворение/Делегирование/Двойной переход
2 Либо не был указан требуемый уровень олицетворения, либо предоставленный уровень олицетворения недействителен.
1 Делегирование в WCF не работает. Первый переход - NTLM?
3 Как выдать себя за пользователя службы WCF?
1 Олицетворение C # WCF не работает для сценария powershell, вызванного из веб-службы, размещенной в IIS (WIn 2012)
2 Двойное олицетворение — от веб-сайта к сервису и сервису
2 Запрос HTTP неавторизован со схемой проверки подлинности клиента «Базовая». Заголовок проверки подлинности, полученный от сервера, был «Negotiate, NTLM».
1 Проблема с проверкой подлинности Windows и делегированием В Интернете, подключенном к WCF

Связанные вопросы

2 Как я могу исправить проблему двойного прыжка Kerberos?
💵 Получи $100 на хостинг на 60 дней.
Регистрируйся!

Новые вопросы

1 Проверьте подпись HMAC в веб-службе WCF в .NET Framework
1 Нет возможности добавить веб-службу WCF в приложение .NET 6.0 VB.NET Winforms.
2 Веб-перехватчик DocuSign Connect для вызова конечной точки службы WCF Rest
1 Облачная служба Azure «Удаленный сервер возвратил ошибку: (413) Слишком большой объект запроса — Net Framework 4.8»
1 Служба CoreWCF получает вложение файла MTOM
1 Поддержка привязок ядра System.ServiceModel wcf
1 Выполнение WCF при выполнении файла или сборки System.ValueTuple или одной из его зависимостей.
1 Подписываю мыльное сообщение, но не могу ссылаться на тело с атрибутом u-id.
1 Как реализовать мою службу WCF для достижения многопоточной функции
1 Клиент WCF, базовое соединение было закрыто
Все вопросы по теме wcf >

wcf

Windows Communication Foundation является частью .NET Framework, которая предоставляет унифицированную модель программирования для быстрого создания сервис-ориентированных приложений.

Подробнее про wcf...