在Windows XP上通过Kerberos进行WCF身份验证
我有一个.NETWCF客户端与Java服务器组件进行对话。服务器端身份验证通过配置为反向代理的中间Apache服务器完成。
NET客户端的配置如下:
<basicHttpBinding>
<binding name="AdministrationServiceImplServiceSoapBinding">
<security mode="TransportCredentialOnly">
<transport clientCredentialType="Windows" proxyCredentialType="Windows" />
</security>
</binding>
</basicHttpBinding>
Apache配置为需要Kerveros身份验证:
<LocationMatch "^...$">
AuthType Kerberos
Krb5Keytab ...
KrbServiceName HTTP/hostname
KrbMethodNegotiate on
KrbMethodK5Passwd off
Require valid-user
Satisfy All
</LocationMatch>
如果我在Windows 7上启动我的应用程序,一切都按预期工作:. NET客户端使用Kerberos,Apache验证客户端,我可以使用Spring Security性访问客户端凭据。
如果我在Windows XP上启动应用程序,我会收到HTTP 401错误消息。在观看了使用WireShark的网络通信后,我看到了这种情况:
(1) 首次尝试在没有身份验证的情况下访问web服务
POST <path> HTTP/1.1
Content-Type: text/xml; charset=utf-8
SOAPAction: ""
Host: <host>
Content-Length: 374
Expect: 100-continue
Connection: Keep-Alive
(2) 100继续从服务器回复
HTTP/1.1 100 Continue
(3) 来自客户端的SOAP请求(仍未经验证)
(4)服务器给出401响应
HTTP/1.1 401 Authorization Required
Server: Apache
WWW-Authenticate: Negotiate
(5) 客户端尝试使用NTLM进行身份验证
POST <path> HTTP/1.1
Content-Type: text/xml; charset=utf-8
SOAPAction: ""
Authorization: Negotiate TlRMTVNTUAABAAAAt4IY4gAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw==
Host: <host>
Content-Length: 0
(6) 401来自服务器的消息(我们这里不讲NTLM!)
HTTP/1.1 401 Authorization Required
(7)客户放弃
当我从客户端解码Base64协商头时,它以NTLMSSP\x00开头,指示客户端希望进行NTLM身份验证,尽管配置文件为自动身份验证指定了“Windows”(又称Kerberos)。
在客户端,我能做些什么来说服.NET使用Kerberos吗?如果没有,我的Apache应该返回什么以便客户端知道它应该使用Kerberos?
共有1个答案
Windows没有为Kerberos安全的服务使用正确的服务主体名称(SPN):使用Kerberos时,Windows应该在活动目录中查找SPNHTTP/$serverame。
错误的一个可能原因是服务的SPN不存在,必须创建(c.f.Kerberos身份验证问题-服务主体名称(SPN)问题-第3部分)。然而,在我的设置中,SPN确实存在,但不知何故Windows没有检索到它们)。我使用KerbTray验证了Windows实际上不包含HTTP/$servername的Kerberos票据。
解决方案是在WCF客户端配置中明确定义SPN。
<endpoint address="http://$servername/Service" />
成了
<endpoint address="http://$servername/Service" />
<identity>
<servicePrincipalName value="HTTP/$servername" />
</identity>
</endpoint>
-
问题: 我们有一个spring的基于MVC的RESTful API,它包含敏感信息。API应该是安全的,但是不希望在每个请求中发送用户的凭据(User/Pass组合)。根据REST指南(和内部业务需求),服务器必须保持无状态。API将由另一台服务器以混搭方式使用。 要求: > 客户端请求使用凭据(不受保护的URL);服务器返回一个安全令牌,该令牌包含足够的信息,供服务器验证未来的请求并保持无状态。
-
我正在运行一个squid代理服务器(CentOS 5),我正试图通过我们的AD服务器(Windows server 2008)使用kerberos。 我遵循了以下说明:http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos 为服务器设置一个keytab,这一切都运行良好。 当我尝试从客户端PC使用代理时,会出现问题,它会立即
-
问题内容: 在(带有)中,我尝试使用以下语句通过基本身份验证访问我的网页: 但是Google Chrome浏览器在控制台中向我发出以下警告: [弃用]其URL包含嵌入式凭据(例如https://user:pass@host/)的子资源请求被阻止。有关更多详细信息,请参见https://www.chromestatus.com/feature/5669008342777856。 在标记的链接中提到该
-
(我曾在SO上回顾过类似的问题,但没有一个建议对我有效) 我有一个API服务,运行在Google App Engine上(在Google云平台上)。我需要通过谷歌管理目录API的身份验证,以便我可以在我们的GSuite域上创建组。 我最初尝试了隐式授权,遵循指南,以手动获取和提供服务帐户凭据,但我认为这可能仅限于在Google App Engine上运行的应用程序之间的通信。我的理解是,在App
-
问题内容: 注销HTTP身份验证受保护的文件夹的 正确 方法是什么? 有一些解决方法可以实现这一目标,但是它们可能会带来危险,因为它们可能有故障或在某些情况下/浏览器中无法使用。这就是为什么我要寻找正确和清洁的解决方案。 问题答案: 亩。 没有正确的方法 ,甚至没有跨浏览器一致的方法。 这是来自HTTP规范(第15.6节)的问题: 现有的HTTP客户端和用户代理通常会无限期地保留身份验证信息。HT
-
目前用户名总是匿名的。设置调用方主体的正确方法是什么?我在拦截器里做这个吗?还是在豆子本身?我的目标是基本上能够调用一个方法loginUserWithEJBOnJboss(String user,String pass),该方法使用在jboss中配置的登录方法并正确设置主体。 我在这里不知所措,谷歌什么也没找到。也许我只是在寻找错误的单词。