為什么BasicHttpBinding不需要主體名稱就可以在IIS7上使用Kerberos Auth?
[英]Why doesn't BasicHttpBinding need a Principal Name to use Kerberos Auth on IIS7?
問題描述
我對Kerberos身份驗證的工作原理了解很多,但就我的一生而言,我無法解釋我在IIS托管的WCF服務中看到的奇怪行為。
我已經建立了一個非常簡單的WCF應用程序,該應用程序使用BasicHttpBinding和TransportCredentialOnly公開了一個端點。 我的理解是,要使Kerberos工作,客戶端必須指定用戶主體名稱或服務主體名稱。 由於某種原因,在不同的綁定類型之間似乎不一致。
當我省略此主體名稱時,在IIS6上最終會使用NTLM。 在IIS7上,它使用Kerberos。 當我在IIS6上指定用戶主體名稱時,使用Kerberos,但在IIS7上調用失敗(在Kerberos握手過程中,Wireshark顯示KRB_AP_ERR_BADMATCH錯誤)。
當我通過Message Security將綁定切換到WSHttpBinding時,它會變得更加有趣。 在該實驗中,如果我未在IIS6上指定用戶主體名稱,則調用將失敗,並在IIS7上使用NTLM。 當我指定UPN時,IIS6失敗,並且II7使用Kerberos結束。 這是我的發現的摘要。 如果有任何人可以幫助我確定發生的事情,我將永遠感激不已。
1 個解決方案
解決方案1
2 2012-01-31 15:24:05
您知道IIS 7中的內核模式身份驗證嗎? 它消除了對應用程序池使用自定義標識的需求,並且(在大多數情況下)也消除了將SPN分配給自定義標識或主機的需求。
這是一篇博客文章 ,描述了使用內核模式身份驗證時何時需要設置SPN。
我的HttpHandler不適用於IIS7中的虛擬目錄,但是使用cassini可以嗎?
[英]My HttpHandler doesn't work with a virtual directory in IIS7, but using cassini it does?
Microsoft.Web.Administration(用於IIS7自動化)在VS 2010中不起作用
[英]Microsoft.Web.Administration (for IIS7 automation) doesn't work in VS 2010
IIS7的自定義重定向不會傳遞If-Modified-Since標頭。 錯誤?
[英]IIS7's custom redirection doesn't pass If-Modified-Since header. Bug?
Response.AppendToLog()在IIS7,Windows Server 2008中不附加任何內容
[英]Response.AppendToLog() doesn't append anything in IIS7, Windows Server 2008
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
basicHttpBinding不使用自定義ServiceCredentials
一個在IIS7中不起作用的HttpModule
盡管有WWWfilter,但已部署IIS7的MVC仍未重定向
我的HttpHandler不適用於IIS7中的虛擬目錄,但是使用cassini可以嗎?
Microsoft.Web.Administration(用於IIS7自動化)在VS 2010中不起作用
Process.Start權限 - 不會在iis7服務器上執行
IIS7的自定義重定向不會傳遞If-Modified-Since標頭。 錯誤?
Response.AppendToLog()在IIS7,Windows Server 2008中不附加任何內容
我不能在iis7開辦公室
IIS7:為什么我不能選擇v3.5 .net Framework?
相關標簽