[英]What does it mean to have a DNS identity type with Windows Authentication?
在WCF服務中使用Windows身份驗證時,從總體上講,指定DNS身份是什么意思? 例如:
<configuration>
<system.serviceModel>
<bindings>
<wsHttpBinding>
<binding name="WSHttpBinding_ICalculator_Windows">
<security>
<message clientCredentialType="Windows"/>
</security>
</binding>
</wsHttpBinding>
</bindings>
<client>
<endpoint address="http://localhost:8003/servicemodelsamples/service/dnsidentity"
binding="wsHttpBinding"
bindingConfiguration="WSHttpBinding_ICalculator_Windows"
contract="ICalculator"
name="WSHttpBinding_ICalculator">
<identity>
<dns value="contoso.com" />
</identity>
</endpoint>
</client>
</system.serviceModel>
</configuration>
該頁面顯示 :
在這種情況下,當客戶端收到該服務的Windows(Kerberos)憑據時,它期望該值是contoso.com。
我不太明白。 服務憑證的價值如何為contoso.com? 憑證是什么意思?
它還是否驗證服務的實際DNS名稱確實為contoso.com? 否則,什么會阻止某人編寫表明其身份為contoso.com的流氓WCF服務?
如果我沒記錯的話,可以使用contoso.com
來解析Kerberos的SPN。 查找的SPN為http / contoso.com:8003。 該SPN將在Active Directory中映射到服務帳戶。 Kerberos票證將使用服務帳戶的憑據進行加密。
我意識到這是一個古老的問題,但是我發現在具有Windows傳輸的tcp綁定的自托管服務中,客戶端似乎並不尊重SpnIdentity設置,而僅尊重DnsIdentity設置。 檢查此處: 不帶證書的wcf服務器身份驗證以獲取更多信息和/或注釋。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.