我正在尝试设置WCF委派,但没有成功(场景为客户端>前端服务器>后端服务器)。
理论上,这应该是使用Kerberos很简单的事情(我确实有一个Windows域),但实际上,我遇到了奇怪的错误,例如SSPI甚至基本的消息安全性。
我找到了无数肤浅的资源和论坛帖子,人们在通过试错来猜测解决方案时遇到了问题。我查看了一些所谓的“专业”和“专家”WCF图书的目录,但委派似乎是没有人想涵盖的东西(事实上,.net抛出的异常中有一个打字错误,这使我感到连微软都不真正关心它)。
总之,是否存在任何资源,让实际上具有理解和自信的人使用方法论方法从头到尾解释整个过程,并提供实际说明而不仅仅是不起作用且未经说明的无意义代码块?
这更像是一个Kerberos问题,而不是WCF问题。
基本思路是客户端在安全上下文中向前端服务器发出请求,然后将此安全上下文发送到后端服务器。
这不能仅通过代码来解决。转发Kerberos令牌的计算机必须是可信的。代码正在运行的帐户也必须被信任以转发安全令牌。
有关通用Kerberos信息:http://support.microsoft.com/kb/907272
这是SharePoint的Kerberos,但有很多共同点:http://blogs.msdn.com/b/martinkearn/archive/2007/04/23/configuring-kerberos-for-sharepoint-2007-part-1-base-configuration-for-sharepoint.aspx
这个WCF的代码实际上相当简单。配置你的服务账户和Kerberos行为可能会很难。
你很难找到例子的原因是,实际上做这个的人很少。委派的过程必须在Active Directory(域控制器)中运行在一个“受信任的委派”账户下。这种能力非常强大,许多IT部门都有一个明确的政策禁止使用它。
有一个“受限委派”的概念,定义了可以访问哪些资源,但这也是在Active Directory中定义的,而不是在你的代码中定义的。在继续编码之前,建议确保你有能力对Active Directory进行所需的更改。使账户启用委派是我曾经在多家公司失败的一场战争。
参考资料:
是的,这两个参考资料都有点老了,但它们仍然适用。在"How To"中列出的所有受限委派步骤都是针对Active Directory而不是ASP的。
