1

我有一个 .NET WCF 客户端与 Java 服务器组件通信。服务器端身份验证是通过配置为反向代理的中间 Apache 服务器完成的。

.NET 客户端的配置如下:

<basicHttpBinding>
    <binding name="AdministrationServiceImplServiceSoapBinding">
          <security mode="TransportCredentialOnly">
            <transport clientCredentialType="Windows" proxyCredentialType="Windows" />
          </security>
    </binding>
</basicHttpBinding>

Apache 配置为需要 Kerveros 身份验证:

<LocationMatch "^...$">
  AuthType Kerberos
  Krb5Keytab ...
  KrbServiceName HTTP/hostname
  KrbMethodNegotiate on
  KrbMethodK5Passwd off
  Require valid-user
  Satisfy All
</LocationMatch>

如果我在 Windows 7 上启动我的应用程序,一切都按预期工作:.NET 客户端使用 Kerberos,Apache 对客户端进行身份验证,我可以使用 Spring 安全性访问客户端凭据。

如果我在 Windows XP 上启动我的应用程序,我会收到一条 HTTP 401 错误消息。在观看了使用 WireShark 的网络通信后,我看到了这种情况:

(1) 未经身份验证访问Web服务的初始尝试

POST <path> HTTP/1.1
Content-Type: text/xml; charset=utf-8
SOAPAction: ""
Host: <host>
Content-Length: 374
Expect: 100-continue
Connection: Keep-Alive

(2) 100 来自服务器的继续回复

HTTP/1.1 100 Continue

(3) 来自客户端的 SOAP 请求(仍然未经身份验证)

(4) 服务器给出401响应

HTTP/1.1 401 Authorization Required
Server: Apache
WWW-Authenticate: Negotiate

(5) 客户端尝试使用 NTLM 进行身份验证

POST <path> HTTP/1.1
Content-Type: text/xml; charset=utf-8
SOAPAction: ""
Authorization: Negotiate TlRMTVNTUAABAAAAt4IY4gAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw==
Host: <host>
Content-Length: 0

(6) 来自服务器的 401 消息(我们这里不说 NTLM!)

HTTP/1.1 401 Authorization Required

(7) 客户放弃

当我从客户端解码 Base64 协商标头时,它首先NTLMSSP\x00指示客户端想要进行 NTLM 身份验证,尽管配置文件为身份验证指定了“Windows”(又名 Kerberos)。

我可以在客户端做些什么来说服 .NET 使用 Kerberos?如果不是,我的 Apache 应该返回什么以便客户端知道它应该使用 Kerberos?

4

1 回答 1

0

Windows 没有为受 Kerberos 保护的服务使用正确的服务主体名称 (SPN):使用 Kerberos 时,Windows 应HTTP/$servername在活动目录中查找 SPN。

错误的一个可能原因是服务的 SPN 不存在并且必须创建(参见Kerberos 身份验证问题 - 服务主体名称 (SPN) 问题 - 第 3 部分)。然而,在我的设置中,SPN 确实存在,但不知何故 Windows 没有检索它们)。使用KerbTray我验证了 Windows 实际上不包含HTTP/$servername.

解决方案是在 WCF 客户端配置中显式定义 SPN。

<endpoint address="http://$servername/Service" />

变成了

<endpoint address="http://$servername/Service" />
  <identity>
    <servicePrincipalName value="HTTP/$servername" />
  </identity>
</endpoint>
于 2012-05-10T07:56:27.027 回答