[英]What does it mean to have a DNS identity type with Windows Authentication?
在WCF服务中使用Windows身份验证时,从总体上讲,指定DNS身份是什么意思? 例如:
<configuration>
<system.serviceModel>
<bindings>
<wsHttpBinding>
<binding name="WSHttpBinding_ICalculator_Windows">
<security>
<message clientCredentialType="Windows"/>
</security>
</binding>
</wsHttpBinding>
</bindings>
<client>
<endpoint address="http://localhost:8003/servicemodelsamples/service/dnsidentity"
binding="wsHttpBinding"
bindingConfiguration="WSHttpBinding_ICalculator_Windows"
contract="ICalculator"
name="WSHttpBinding_ICalculator">
<identity>
<dns value="contoso.com" />
</identity>
</endpoint>
</client>
</system.serviceModel>
</configuration>
该页面显示 :
在这种情况下,当客户端收到该服务的Windows(Kerberos)凭据时,它期望该值是contoso.com。
我不太明白。 服务凭证的价值如何为contoso.com? 凭证是什么意思?
它还是否验证服务的实际DNS名称确实为contoso.com? 否则,什么会阻止某人编写表明其身份为contoso.com的流氓WCF服务?
如果我没记错的话,可以使用contoso.com
来解析Kerberos的SPN。 查找的SPN为http / contoso.com:8003。 该SPN将在Active Directory中映射到服务帐户。 Kerberos票证将使用服务帐户的凭据进行加密。
我意识到这是一个古老的问题,但是我发现在具有Windows传输的tcp绑定的自托管服务中,客户端似乎并不尊重SpnIdentity设置,而仅尊重DnsIdentity设置。 检查此处: 不带证书的wcf服务器身份验证以获取更多信息和/或注释。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.