为什么BasicHttpBinding不需要主体名称就可以在IIS7上使用Kerberos Auth?
[英]Why doesn't BasicHttpBinding need a Principal Name to use Kerberos Auth on IIS7?
问题描述
我对Kerberos身份验证的工作原理了解很多,但就我的一生而言,我无法解释我在IIS托管的WCF服务中看到的奇怪行为。
我已经建立了一个非常简单的WCF应用程序,该应用程序使用BasicHttpBinding和TransportCredentialOnly公开了一个端点。 我的理解是,要使Kerberos工作,客户端必须指定用户主体名称或服务主体名称。 由于某种原因,在不同的绑定类型之间似乎不一致。
当我省略此主体名称时,在IIS6上最终会使用NTLM。 在IIS7上,它使用Kerberos。 当我在IIS6上指定用户主体名称时,使用Kerberos,但在IIS7上调用失败(在Kerberos握手过程中,Wireshark显示KRB_AP_ERR_BADMATCH错误)。
当我通过Message Security将绑定切换到WSHttpBinding时,它会变得更加有趣。 在该实验中,如果我未在IIS6上指定用户主体名称,则调用将失败,并在IIS7上使用NTLM。 当我指定UPN时,IIS6失败,并且II7使用Kerberos结束。 这是我的发现的摘要。 如果有任何人可以帮助我确定发生的事情,我将永远感激不已。
1 个解决方案
解决方案1
2 2012-01-31 15:24:05
您知道IIS 7中的内核模式身份验证吗? 它消除了对应用程序池使用自定义标识的需求,并且(在大多数情况下)也消除了将SPN分配给自定义标识或主机的需求。
这是一篇博客文章 ,描述了使用内核模式身份验证时何时需要设置SPN。
我的HttpHandler不适用于IIS7中的虚拟目录,但是使用cassini可以吗?
[英]My HttpHandler doesn't work with a virtual directory in IIS7, but using cassini it does?
Microsoft.Web.Administration(用于IIS7自动化)在VS 2010中不起作用
[英]Microsoft.Web.Administration (for IIS7 automation) doesn't work in VS 2010
IIS7的自定义重定向不会传递If-Modified-Since标头。 错误?
[英]IIS7's custom redirection doesn't pass If-Modified-Since header. Bug?
Response.AppendToLog()在IIS7,Windows Server 2008中不附加任何内容
[英]Response.AppendToLog() doesn't append anything in IIS7, Windows Server 2008
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
basicHttpBinding不使用自定义ServiceCredentials
一个在IIS7中不起作用的HttpModule
尽管有WWWfilter,但已部署IIS7的MVC仍未重定向
我的HttpHandler不适用于IIS7中的虚拟目录,但是使用cassini可以吗?
Microsoft.Web.Administration(用于IIS7自动化)在VS 2010中不起作用
Process.Start权限 - 不会在iis7服务器上执行
IIS7的自定义重定向不会传递If-Modified-Since标头。 错误?
Response.AppendToLog()在IIS7,Windows Server 2008中不附加任何内容
我不能在iis7开办公室
IIS7:为什么我不能选择v3.5 .net Framework?
相关标签