我们正在使用带有 KerbRetrieveEncodedTicketMessage 类型的 KERB_RETRIEVE_TKT_REQUEST 的 LsaCallAuthenticationPackage。
我们模拟一个 Windows 身份,然后使用 LsaCallAuthenticationPackage 来获取票证。
使用无约束委派时,我们能够检索票证(tgt 和服务票证)。当我们尝试约束委派时,对 LsaCallAuthenticationPackage 的调用失败并显示:LsaStatus 2148074254:指定的登录会话不存在。它可能已经被终止
我们的服务通过集成 Windows 身份验证接收初始 Windows 身份。
我们已经检查并重新检查了约束委派配置和 SPN ......一切似乎都很好。
我们观察到,使用 IWA,一旦服务帐户设置为使用约束委派,WindowsIdentity 的模拟级别就会从委派更改为模拟(这可能与我们的问题相关,也可能不相关)。我们正在运行接收标识的非 IIS 托管 WCF Web 服务。
我们想知道 KERB_RETRIEVE_TKT_REQUEST 的设置是否存在一些差异,以便在使用约束委派时检索票证。
或者,也许有一些 WCF 设置需要以不同的方式完成。
谢谢,