具有外部信任的 WCF SSPI 失败 - 选择性与域范围

Posted 2023-02-27

【中文标题】具有外部信任的 WCF SSPI 失败 - 选择性与域范围

【英文标题】：WCF SSPI Failure with External Trust - Selective versus Domain wide

【发布时间】：2011-01-20 05:19:39

【问题描述】：

我在工作时遇到问题，因为在与其他域通信时使用选择性身份验证进行域信任时，我们使用 WCF 进行 SSO 的应用程序失败。这是在服务器 2k8R2 机器上，在其两个域的完整 2k8R2 功能级别上（这是一个测试系统，因为我们有一个客户想要部署这种类型的东西）。

基本上，我们有两个域，分别称为 A 和 B。当我们在域之间进行完整的双向 EXTERNAL（非森林）信任时，应用程序可以正常工作（在将用户放入另一个域的适当组之后当然）。然后我们将关系从“域范围”身份验证转换为“选择性身份验证”。根据我们阅读的一些文档，我们需要将用户直接添加到 AD 中每台计算机的条目中，并赋予他们“允许身份验证”权限。

没用。

此外，我们在其他地方看到暗示我们还必须在 DC 本身上授予他们相同的权限。这样就完成了。再次失败。

应用程序抛出的异常如下（我把它转储到一个文件中）

A call to SSPI failed, see inner exception. Stacktrace: 
Server stack trace: 
   at System.ServiceModel.Channels.WindowsStreamSecurityUpgradeProvider.WindowsStreamSecurityUpgradeInitiator.OnInitiateUpgrade(Stream stream, SecurityMessageProperty& remoteSecurity)
   at System.ServiceModel.Channels.StreamSecurityUpgradeInitiatorBase.InitiateUpgrade(Stream stream)
   at System.ServiceModel.Channels.ConnectionUpgradeHelper.InitiateUpgrade(StreamUpgradeInitiator upgradeInitiator, IConnection& connection, ClientFramingDecoder decoder, IDefaultCommunicationTimeouts defaultTimeouts, TimeoutHelper& timeoutHelper)
   at System.ServiceModel.Channels.ClientFramingDuplexSessionChannel.SendPreamble(IConnection connection, ArraySegment`1 preamble, TimeoutHelper& timeoutHelper)
   at System.ServiceModel.Channels.ClientFramingDuplexSessionChannel.DuplexConnectionPoolHelper.AcceptPooledConnection(IConnection connection, TimeoutHelper& timeoutHelper)
   at System.ServiceModel.Channels.ConnectionPoolHelper.EstablishConnection(TimeSpan timeout)
   at System.ServiceModel.Channels.ClientFramingDuplexSessionChannel.OnOpen(TimeSpan timeout)
   at System.ServiceModel.Channels.CommunicationObject.Open(TimeSpan timeout)
   at System.ServiceModel.Channels.ServiceChannel.OnOpen(TimeSpan timeout)
   at System.ServiceModel.Channels.CommunicationObject.Open(TimeSpan timeout)
   at System.ServiceModel.Channels.ServiceChannel.CallOnceManager.CallOnce(TimeSpan timeout, CallOnceManager cascade)
   at System.ServiceModel.Channels.ServiceChannel.EnsureOpened(TimeSpan timeout)
   at System.ServiceModel.Channels.ServiceChannel.Call(String action, Boolean oneway, ProxyOperationRuntime operation, Object[] ins, Object[] outs, TimeSpan timeout)
   at System.ServiceModel.Channels.ServiceChannelProxy.InvokeService(IMethodCallMessage methodCall, ProxyOperationRuntime operation)
   at System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage message)

Exception rethrown at [0]: 
   at System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
   at System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
(A couple of calls in our own code below here)
InnerException: System.Security.Authentication.AuthenticationException: A call to SSPI failed, see inner exception. ---> System.ComponentModel.Win32Exception: Unknown error (0xc0000413)
   --- End of inner exception stack trace ---
   at System.Net.Security.NegoState.ProcessAuthentication(LazyAsyncResult lazyResult)
   at System.Net.Security.NegotiateStream.AuthenticateAsClient(NetworkCredential credential, String targetName, ProtectionLevel requiredProtectionLevel, TokenImpersonationLevel allowedImpersonationLevel)
   at System.ServiceModel.Channels.WindowsStreamSecurityUpgradeProvider.WindowsStreamSecurityUpgradeInitiator.OnInitiateUpgrade(Stream stream, SecurityMessageProperty& remoteSecurity) 

所以，基本上就是这样。某种类型的“AuthorizationException”正在发生。正如我所说，当它是域范围的双向信任时不会发生这种情况，因此我们认为我们缺少一些设置来“重新启用”以使其工作。有没有人知道信任足以为我们指明正确的方向，以启用选择性身份验证并使 SSO/SSPI 为此工作？它确实已经在整个域范围内工作了，但是我们必须打开什么才能使它适用于选择性（最好只适用于我们希望它工作的用户）？

谢谢。

【参考方案1】：

在致电 Microsoft 后，问题得到了解决：我们没有对在主机上运行服务的许多用户设置“允许身份验证”权限。文档都提到必须向您的客户授予您正在访问的机器的权限（在某些情况下包括 DC），但没有提及还必须将您的远程客户端添加到“安全性”运行服务的主机用户的选项卡。

所以我将总结一些人为的用户、域和机器名称，以及一个默认存在的实际服务帐户。

“A”域：客户端尝试连接的域 “B”域：这是机器托管服务的域，该服务由域 A 中的用户连接。 Client@A：来自 A 域的用户连接到 B 域中的服务。 ServiceAccount@B：B 域中承载 Client@A 连接的 WCF 服务的用户。 krbtgt@B：这是一个内置用户，描述为“密钥分发中心服务帐户”。只要您在“查看”菜单下启用了“高级功能”，它将位于“用户”下的 Active Directory 用户和计算机下。除非你这样做，否则它根本不会出现。 B-DC：域B的域控制器 B-host：我们要连接的 WCF 服务的主机。

因此，要让 Client@A 使用 SSPI/Windows 身份验证连接到用户 ServiceAccount@B 在 B 主机上运行的 WCF 服务，在具有选择性身份验证的外部信任上，您需要执行以下操作：

打开 AD 用户和计算机并在“查看”菜单下启用“高级功能” 找到 B-DC 对象（默认情况下在域控制器下，但如果您已移动它可能在其他地方）并打开“安全”选项卡。除非您在步骤 1 中启用了高级功能，否则该选项卡将不存在。将 Client@A 用户添加到组或用户名，并确保为该用户选中“读取”和“允许身份验证”。 找到 B 主机对象（默认情况下在计算机下，但如果您已移动它可能在其他地方）并打开“安全”选项卡。除非您在步骤 1 中启用了高级功能，否则该选项卡将不存在。将 Client@A 用户添加到组或用户名，并确保为该用户选中“读取”和“允许身份验证”。 在“用户”下找到 krbtgt@B 用户。如果不启用“高级功能”，帐户本身将不可见。转到安全选项卡并添加选中“允许身份验证”和“读取”权限的 Client@A 用户。 找到 serviceaccount@B 用户并执行与 krbtgt 相同的操作。

现在它应该可以工作了。奇怪的是，您只需要像这样跨边界运行经过 Windows 身份验证（因此不是证书）的 WCF 连接，但您就可以了。您需要将远程用户添加到 AD 中的四个不同对象中才能使其工作。据推测，将远程用户添加到域 B 中具有正确权限的某些域本地组也可以，但尚未经过测试。

编辑：然后在一小时内让具有 AdminSDHolder 权限的 PDC 模拟器覆盖 krbtgt。每小时一次。

基本上，krbtgt 是超级保护的。您必须更改 AdminSDHolder，它会传播很多。添加 JUST “允许进行身份验证”的命令是：

dsacls "[DN of object]" /g "[groupname]:ca;allowed to authenticate"

如果您想了解更多信息，请查看“dsacls”工具。更改访问控制列表和打印它们都非常方便。实际上比 GUI 更好。

无论如何，这现在确实有效。有完整的答案。