具有外部信任的 WCF SSPI 失败 - 选择性与域范围
Posted
技术标签:
【中文标题】具有外部信任的 WCF SSPI 失败 - 选择性与域范围【英文标题】:WCF SSPI Failure with External Trust - Selective versus Domain wide 【发布时间】:2011-01-20 05:19:39 【问题描述】:我在工作时遇到问题,因为在与其他域通信时使用选择性身份验证进行域信任时,我们使用 WCF 进行 SSO 的应用程序失败。这是在服务器 2k8R2 机器上,在其两个域的完整 2k8R2 功能级别上(这是一个测试系统,因为我们有一个客户想要部署这种类型的东西)。
基本上,我们有两个域,分别称为 A 和 B。当我们在域之间进行完整的双向 EXTERNAL(非森林)信任时,应用程序可以正常工作(在将用户放入另一个域的适当组之后当然)。然后我们将关系从“域范围”身份验证转换为“选择性身份验证”。根据我们阅读的一些文档,我们需要将用户直接添加到 AD 中每台计算机的条目中,并赋予他们“允许身份验证”权限。
没用。
此外,我们在其他地方看到暗示我们还必须在 DC 本身上授予他们相同的权限。这样就完成了。再次失败。
应用程序抛出的异常如下(我把它转储到一个文件中)
A call to SSPI failed, see inner exception. Stacktrace:
Server stack trace:
at System.ServiceModel.Channels.WindowsStreamSecurityUpgradeProvider.WindowsStreamSecurityUpgradeInitiator.OnInitiateUpgrade(Stream stream, SecurityMessageProperty& remoteSecurity)
at System.ServiceModel.Channels.StreamSecurityUpgradeInitiatorBase.InitiateUpgrade(Stream stream)
at System.ServiceModel.Channels.ConnectionUpgradeHelper.InitiateUpgrade(StreamUpgradeInitiator upgradeInitiator, IConnection& connection, ClientFramingDecoder decoder, IDefaultCommunicationTimeouts defaultTimeouts, TimeoutHelper& timeoutHelper)
at System.ServiceModel.Channels.ClientFramingDuplexSessionChannel.SendPreamble(IConnection connection, ArraySegment`1 preamble, TimeoutHelper& timeoutHelper)
at System.ServiceModel.Channels.ClientFramingDuplexSessionChannel.DuplexConnectionPoolHelper.AcceptPooledConnection(IConnection connection, TimeoutHelper& timeoutHelper)
at System.ServiceModel.Channels.ConnectionPoolHelper.EstablishConnection(TimeSpan timeout)
at System.ServiceModel.Channels.ClientFramingDuplexSessionChannel.OnOpen(TimeSpan timeout)
at System.ServiceModel.Channels.CommunicationObject.Open(TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannel.OnOpen(TimeSpan timeout)
at System.ServiceModel.Channels.CommunicationObject.Open(TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannel.CallOnceManager.CallOnce(TimeSpan timeout, CallOnceManager cascade)
at System.ServiceModel.Channels.ServiceChannel.EnsureOpened(TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannel.Call(String action, Boolean oneway, ProxyOperationRuntime operation, Object[] ins, Object[] outs, TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannelProxy.InvokeService(IMethodCallMessage methodCall, ProxyOperationRuntime operation)
at System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage message)
Exception rethrown at [0]:
at System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
at System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
(A couple of calls in our own code below here)
InnerException: System.Security.Authentication.AuthenticationException: A call to SSPI failed, see inner exception. ---> System.ComponentModel.Win32Exception: Unknown error (0xc0000413)
--- End of inner exception stack trace ---
at System.Net.Security.NegoState.ProcessAuthentication(LazyAsyncResult lazyResult)
at System.Net.Security.NegotiateStream.AuthenticateAsClient(NetworkCredential credential, String targetName, ProtectionLevel requiredProtectionLevel, TokenImpersonationLevel allowedImpersonationLevel)
at System.ServiceModel.Channels.WindowsStreamSecurityUpgradeProvider.WindowsStreamSecurityUpgradeInitiator.OnInitiateUpgrade(Stream stream, SecurityMessageProperty& remoteSecurity)
所以,基本上就是这样。某种类型的“AuthorizationException”正在发生。正如我所说,当它是域范围的双向信任时不会发生这种情况,因此我们认为我们缺少一些设置来“重新启用”以使其工作。有没有人知道信任足以为我们指明正确的方向,以启用选择性身份验证并使 SSO/SSPI 为此工作?它确实已经在整个域范围内工作了,但是我们必须打开什么才能使它适用于选择性(最好只适用于我们希望它工作的用户)?
谢谢。
【问题讨论】:
【参考方案1】:在致电 Microsoft 后,问题得到了解决:我们没有对在主机上运行服务的许多用户设置“允许身份验证”权限。文档都提到必须向您的客户授予您正在访问的机器的权限(在某些情况下包括 DC),但没有提及还必须将您的远程客户端添加到“安全性”运行服务的主机用户的选项卡。
所以我将总结一些人为的用户、域和机器名称,以及一个默认存在的实际服务帐户。
“A”域:客户端尝试连接的域 “B”域:这是机器托管服务的域,该服务由域 A 中的用户连接。 Client@A:来自 A 域的用户连接到 B 域中的服务。 ServiceAccount@B:B 域中承载 Client@A 连接的 WCF 服务的用户。 krbtgt@B:这是一个内置用户,描述为“密钥分发中心服务帐户”。只要您在“查看”菜单下启用了“高级功能”,它将位于“用户”下的 Active Directory 用户和计算机下。除非你这样做,否则它根本不会出现。 B-DC:域B的域控制器 B-host:我们要连接的 WCF 服务的主机。
因此,要让 Client@A 使用 SSPI/Windows 身份验证连接到用户 ServiceAccount@B 在 B 主机上运行的 WCF 服务,在具有选择性身份验证的外部信任上,您需要执行以下操作:
-
打开 AD 用户和计算机并在“查看”菜单下启用“高级功能”
找到 B-DC 对象(默认情况下在域控制器下,但如果您已移动它可能在其他地方)并打开“安全”选项卡。除非您在步骤 1 中启用了高级功能,否则该选项卡将不存在。将 Client@A 用户添加到组或用户名,并确保为该用户选中“读取”和“允许身份验证”。
找到 B 主机对象(默认情况下在计算机下,但如果您已移动它可能在其他地方)并打开“安全”选项卡。除非您在步骤 1 中启用了高级功能,否则该选项卡将不存在。将 Client@A 用户添加到组或用户名,并确保为该用户选中“读取”和“允许身份验证”。
在“用户”下找到 krbtgt@B 用户。如果不启用“高级功能”,帐户本身将不可见。转到安全选项卡并添加选中“允许身份验证”和“读取”权限的 Client@A 用户。
找到 serviceaccount@B 用户并执行与 krbtgt 相同的操作。
现在它应该可以工作了。奇怪的是,您只需要像这样跨边界运行经过 Windows 身份验证(因此不是证书)的 WCF 连接,但您就可以了。您需要将远程用户添加到 AD 中的四个不同对象中才能使其工作。据推测,将远程用户添加到域 B 中具有正确权限的某些域本地组也可以,但尚未经过测试。
编辑:然后在一小时内让具有 AdminSDHolder 权限的 PDC 模拟器覆盖 krbtgt。每小时一次。
基本上,krbtgt 是超级保护的。您必须更改 AdminSDHolder,它会传播很多。添加 JUST “允许进行身份验证”的命令是:
dsacls "[DN of object]" /g "[groupname]:ca;allowed to authenticate"
如果您想了解更多信息,请查看“dsacls”工具。更改访问控制列表和打印它们都非常方便。实际上比 GUI 更好。
无论如何,这现在确实有效。有完整的答案。
【讨论】:
以上是关于具有外部信任的 WCF SSPI 失败 - 选择性与域范围的主要内容,如果未能解决你的问题,请参考以下文章
除非客户端和服务器使用相同的 Windows 身份,否则带有 sspi 的 WCF Net.tcp 会失败