HTTP 请求未经客户端身份验证方案“协商”的授权。从服务器收到的身份验证标头是“NTLM”
Posted
技术标签:
【中文标题】HTTP 请求未经客户端身份验证方案“协商”的授权。从服务器收到的身份验证标头是“NTLM”【英文标题】:The HTTP request is unauthorized with client authentication scheme 'Negotiate'. The authentication header received from the server was 'NTLM' 【发布时间】:2013-03-12 07:05:59 【问题描述】:几天前,当我在客户端和 wcf Web 服务之间使用 Windows 身份验证时,我对身份验证问题感到非常头疼。我得到的错误是“HTTP请求未经授权,客户端身份验证方案'Negotiate'。从服务器收到的身份验证标头是“NTLM”。堆栈上的解决方案都没有工作,因为它们中的大多数都与旧方法有关。
【问题讨论】:
似乎与我现在遇到的问题相似。能再发一张图吗?谢谢。 你是什么意思“再次发图”,你在帖子中没有看到图像? 对不起,这是一个代理的东西...... postimg.org/image/iriadkxit 这是链接 您应该将自己的答案添加为答案并接受它,以便人们可以投票:)。 【参考方案1】:答案:问题是所有关于此类问题的帖子都与代理凭据或 AllowNTLM 属性有帮助的旧 kerberos 和 IIS 问题有关。我的情况不同。经过数小时从地下挑选蠕虫后,我发现,在某种程度上,IIS 安装并未在 IIS Windows 身份验证提供程序列表下包含 Negotiate provider。所以我不得不添加它并向上移动。我的 WCF 服务开始按预期进行身份验证。如果您使用 Windows 身份验证并关闭匿名身份验证,以下是屏幕截图。
您需要右键单击 Windows 身份验证并选择提供程序菜单项。
希望这有助于节省一些时间。
【讨论】:
在哪里可以找到这个选项? 在 IIS 中,身份验证不足设置【参考方案2】:我已将旧版本的 WCF 升级到 WCF 4,并进行了以下更改,希望您也可以进行类似的更改。
1. Web.config:
<system.serviceModel>
<bindings>
<basicHttpBinding>
<binding name="Demo_BasicHttp">
<security mode="TransportCredentialOnly">
<transport clientCredentialType="InheritedFromHost"/>
</security>
</binding>
</basicHttpBinding>
</bindings>
<services>
<service name="DemoServices.CalculatorService.ServiceImplementation.CalculatorService" behaviorConfiguration="Demo_ServiceBehavior">
<endpoint address="" binding="basicHttpBinding"
bindingConfiguration="Demo_BasicHttp" contract="DemoServices.CalculatorService.ServiceContracts.ICalculatorServiceContract">
<identity>
<dns value="localhost"/>
</identity>
</endpoint>
<endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange" />
</service>
</services>
<behaviors>
<serviceBehaviors>
<behavior name="Demo_ServiceBehavior">
<!-- To avoid disclosing metadata information, set the values below to false before deployment -->
<serviceMetadata httpGetEnabled="true" httpsGetEnabled="true"/>
<!-- To receive exception details in faults for debugging purposes, set the value below to true. Set to false before deployment to avoid disclosing exception information -->
<serviceDebug includeExceptionDetailInFaults="false"/>
</behavior>
</serviceBehaviors>
</behaviors>
<protocolMapping>
<add scheme="http" binding="basicHttpBinding" bindingConfiguration="Demo_BasicHttp"/>
</protocolMapping>
<serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true" />
</system.serviceModel>
2。应用程序配置:
<system.serviceModel>
<bindings>
<basicHttpBinding>
<binding name="BasicHttpBinding_ICalculatorServiceContract" maxBufferSize="2147483647" maxBufferPoolSize="33554432" maxReceivedMessageSize="2147483647" closeTimeout="00:10:00" sendTimeout="00:10:00" receiveTimeout="00:10:00">
<readerQuotas maxArrayLength="2147483647" maxBytesPerRead="4096" />
<security mode="TransportCredentialOnly">
<transport clientCredentialType="Ntlm" proxyCredentialType="None" realm="" />
</security>
</binding>
</basicHttpBinding>
</bindings>
<client>
<endpoint address="http://localhost:24357/CalculatorService.svc" binding="basicHttpBinding" bindingConfiguration="BasicHttpBinding_ICalculatorServiceContract" contract="ICalculatorServiceContract" name="Demo_BasicHttp" />
</client>
</system.serviceModel>
【讨论】:
这在客户端对我有用...对我来说,解决方案是使用“Ntlm”作为凭证类型:
XxxSoapClient xxxClient = new XxxSoapClient();
ApplyCredentials(userName, password, xxxClient.ClientCredentials);
private static void ApplyCredentials(string userName, string password, ClientCredentials clientCredentials)
clientCredentials.UserName.UserName = userName;
clientCredentials.UserName.Password = password;
clientCredentials.Windows.ClientCredential.UserName = userName;
clientCredentials.Windows.ClientCredential.Password = password;
clientCredentials.Windows.AllowNtlm = true;
clientCredentials.Windows.AllowedImpersonationLevel = System.Security.Principal.TokenImpersonationLevel.Impersonation;
【讨论】:
clientCredentials.Windows.AllowNtlm
已过时【参考方案4】:
不是这个确切的问题,但这是搜索 almost the exact same error 时的最佳结果:
如果您在调用同一台机器上托管的 WCF 服务时看到此问题,您可能需要填充 BackConnectionHostNames
注册表项
-
在 regedit 中,找到并单击以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
右键单击MSV1_0
,指向新建,然后单击Multi-String Value
。
在“名称”列中,键入 BackConnectionHostNames
,然后按 Enter。
右键单击BackConnectionHostNames
,然后单击修改。
在数值数据框中,键入用于计算机上本地共享的 CNAME 或 DNS 别名,然后单击确定。
在单独的行中键入每个主机名。
详情请见Calling WCF service hosted in IIS on the same machine as client throws authentication error。
【讨论】:
【参考方案5】:我的解决方案是将 AppPool 从使用 AppPoolIdentity 设置为 NetworkService 身份。
【讨论】:
【参考方案6】:我有同样的问题,解决它在 iis 中设置域中的特定用户 -> 操作侧边栏 -> 基本设置 -> 连接为... -> 特定用户
【讨论】:
以上是关于HTTP 请求未经客户端身份验证方案“协商”的授权。从服务器收到的身份验证标头是“NTLM”的主要内容,如果未能解决你的问题,请参考以下文章
HTTP 请求未经客户端身份验证方案“基本”授权。从服务器收到的身份验证标头是“协商,NTLM”