在Active Directory域中為WCF配置加密算法
[英]Configuring Encryption Algorithm for WCF in Active Directory Domain
問題描述
方案:使用NetTcp,傳輸安全性和Windows身份驗證在Active Directory域上運行的WCF客戶端/服務器應用程序。 我了解SSPI在后台如何工作,默認情況下它如何進行傳輸層加密。 據我了解,在域中配置了加密參數(例如什么算法)。
問題:在這種情況下,如何配置Active Directory域以使用不同的算法? 我不一定要我的應用指定特定的算法; 對於這種情況下的Windows身份驗證,我感到很滿意。 但是,我需要能夠告訴客戶如何配置其策略以使用他們選擇的算法,或者至少要研究其策略以確定他們今天使用的算法。
需要說明的是:我不想使用證書身份驗證。 我真的很想保留Windows身份驗證。
1 個解決方案
解決方案1
0 2018-05-27 14:23:35
由於kerberos是與Active Directory一起使用的默認身份驗證協議方法,因此我將重點介紹調整(如果需要)用於Kerberos的加密方法。 從Windows 2008 R2 活動目錄開始 , AES256-SHA1已成為Kerberos的默認加密算法。 盡管使用SSPI Windows身份驗證,但ntlm可能是所使用的身份驗證協議,在2018年今天這種可能性很小。
要告訴您使用哪種身份驗證和加密方法,以及是否使用Windows 10,請從命令提示符下鍵入: klist 。 輸出將顯示連接的資源以及使用的加密方法。 如果您通過SSO連接到網絡資源,但在klist輸出中看不到匹配的Kerberos票證,則表示已使用NTLM。 使用Wireshark之類的網絡捕獲工具進行確認。
要將Kerberos策略配置為使用特定的加密算法,請執行以下操作:
- 打開組策略管理控制台(GPMC)並編輯“默認域策略”(首先創建它的備份副本)。
- 導航到以下位置: 計算機配置\\ Windows設置\\安全設置\\本地策略\\安全選項
- 單擊以選中網絡安全性:配置Kerberos允許的加密類型選項 。
- 單擊以選中“定義這些策略設置”,然后選擇所需的加密類型復選框。
- 單擊確定。 關閉GPMC。
參考: 網絡安全:配置僅適用於Kerberos Win7的加密類型 。 注意:文章僅說Win7,但它也適用於Windows 8和Windows 10。
注意:由於您說的是不使用證書身份驗證,因此類似TLS的問題在這里將不適用。
Windows身份驗證,自定義權限,WCF,Active Directory
[英]Windows Authentication, Custom permissions, WCF, Active Directory
WCF Active Directory授權-PrincipalPermission->訪問被拒絕
[英]WCF Active Directory Authorization - PrincipalPermission -> access denied
配置IBM P8以通過Active Directory使用SSL上的LDAP
[英]Configuring IBM P8 to use LDAP over SSL with Active Directory
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
查找WCF服務調用方的Active Directory域用戶名
Active Directory WCF服務
WCF Active Directory幫助器服務
Azure Active Directory 和 WCF 身份驗證
Azure Active Directory Active ActAs WCF
Azure Active Directory和WCF服務庫示例
Windows身份驗證,自定義權限,WCF,Active Directory
如何從WCF服務訪問Active Directory
WCF Active Directory授權-PrincipalPermission->訪問被拒絕
配置IBM P8以通過Active Directory使用SSL上的LDAP
相關標簽