我有一个在服务器 A 上运行的 Web 应用程序调用服务器 B 上的 WCF 服务(K2 工作流),该服务需要模拟/委派才能作为调用用户运行。如果我从服务器 A 运行 Web 应用程序,该应用程序运行良好。如果我从我的本地 PC 调试运行该应用程序,它也能很好地工作。如果我从 PC 上的浏览器访问应用程序到服务器 A,我会收到以下错误:
HTTP 请求未经客户端身份验证方案“Ntlm”授权。从服务器收到的身份验证 header 是“Ntlm,Negotiate”。 System.Net.WebException:远程服务器返回错误:(401)未经授权。在 System.Net.HttpWebRequest.GetResponse() 在 System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan 超时)。
我使用以下代码来运行该服务:
SvcWorklist.ClientCredentials.Windows.AllowedImpersonationLevel = System.Security.Principal.TokenImpersonationLevel.Delegation;
SvcWorklist.ClientCredentials.Windows.ClientCredential = System.Net.CredentialCache.DefaultNetworkCredentials;
我觉得我已经完成了一切,这里是我尝试过的列表:
- 通过服务器 A 应用程序池域用户到服务器 B 设置 SPN(包括端口)
(NETBIOS 和 FQDN)
- 在服务器A和B上设置与应用程序池用户相同的域用户
- 确保允许应用程序池用户在 Active Directory 中委派
- 确保两个服务器都允许在 AD 中委派
- 在服务器 A 的 web.config 中将身份验证设置为 windows 和 impersonate=true
- 确保 Thread.CurrentPrincipal.Identity.Name 有我的用户 ID
- 确保为 Windows 和模拟设置 IIS
- 尝试将服务器 A 和 B 上的 IIS 配置限制为仅 Ntlm 和/或协商
非常感谢任何帮助或想法。
最佳答案
对于遇到同样问题的家伙 - 我想通了。我在目标服务上设置了 SPN,而不是它托管的服务。我还需要设置共享点以使用协商与 ntlm。
关于WCF、Clientcredentials、多跃点、kerberos 和 Windows 身份验证 - 如何开始工作,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18880138/