使用 Windows 身份验证的 IIS 托管 WCF 服务和 SQL 查询

Posted

技术标签:

【中文标题】使用 Windows 身份验证的 IIS 托管 WCF 服务和 SQL 查询【英文标题】:IIS Hosted WCF Service & SQL Queries Using Windows Authentication 【发布时间】:2012-02-17 04:01:35 【问题描述】:

我对 WCF 还很陌生,但我有一个托管在 IIS 中的 WCF 服务,它对我们的 SQL Server 有几个查询。我正在通过 WPF 应用程序使用 WCF 服务。我正在尝试做的是允许 Windows 身份验证从 WPF 客户端传递到 WCF 服务,再到 SQL Server,以便 SQL 查询作为客户端用户执行。到目前为止,我一直在尝试以各种方式配置网站和主机。

在我的 WCF 服务网站上,我有 Anonymous Authentication=true(对于 MEX)、ASP.NET Impersonation=true 和 Windows Authentication=true。

在我的 WCF 服务 Web.config 中:

<configuration>
  <system.web>
    <customErrors mode="Off"/>
    <authentication mode="Windows"/>
    <compilation debug="true" targetFramework="4.0">
      <assemblies>
        <add assembly="System.Data.Entity, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
      </assemblies>
    </compilation>
  </system.web>
  <system.serviceModel>
    <bindings>
      <wsHttpBinding>
        <binding maxReceivedMessageSize="5000000" name="WindowsSecurity">
          <readerQuotas maxDepth="200"/>
          <security mode="Transport">
            <transport clientCredentialType="Windows" />
          </security>
        </binding>
      </wsHttpBinding>
    </bindings>
    <services>
      <service name="ADATrackingService" behaviorConfiguration="ServiceBehavior">
        <endpoint address="" binding="wsHttpBinding" bindingConfiguration="WindowsSecurity"
          name="wsHttpEndpoint" contract="IADATrackingService" />
        <endpoint address="mex" binding="mexHttpsBinding" name="MexHttpsBindingEndpoint"
          contract="IMetadataExchange" />
      </service>
    </services>
    <behaviors>
      <serviceBehaviors>
        <behavior name="ServiceBehavior">
          <serviceMetadata httpGetEnabled="false" httpsGetEnabled="true" />
          <serviceDebug includeExceptionDetailInFaults="true" />
          <serviceAuthorization impersonateCallerForAllOperations="true" />
        </behavior>
      </serviceBehaviors>
    </behaviors>
    <serviceHostingEnvironment multipleSiteBindingsEnabled="true" />
  </system.serviceModel>
  <system.webServer>
    <modules runAllManagedModulesForAllRequests="true" />
  </system.webServer>
  <connectionStrings>
    <add name="ADATrackingEntities" connectionString="metadata=res://*/EntityModel.ADATrackingModel.csdl|res://*/EntityModel.ADATrackingModel.ssdl|res://*/EntityModel.ADATrackingModel.msl;provider=System.Data.SqlClient;provider connection string=&quot;data source=MYSERVER;initial catalog=ADATracking;integrated security=True;multipleactiveresultsets=True;App=EntityFramework&quot;" providerName="System.Data.EntityClient" />
  </connectionStrings>
</configuration>

然后在我的 WPF 客户端 App.Config 中有:

<configuration>
    <system.serviceModel>
      <behaviors>
        <endpointBehaviors>
          <behavior name="WindowsAuthentication">
            <clientCredentials>
              <windows allowedImpersonationLevel="Delegation"/>
            </clientCredentials>
          </behavior>
        </endpointBehaviors>
      </behaviors>
        <bindings>
            <wsHttpBinding>
                <binding name="wsHttpEndpoint" closeTimeout="00:01:00" openTimeout="00:01:00"
                    receiveTimeout="00:10:00" sendTimeout="00:01:00" bypassProxyOnLocal="false"
                    transactionFlow="false" hostNameComparisonMode="StrongWildcard"
                    maxBufferPoolSize="524288" maxReceivedMessageSize="5000000"
                    messageEncoding="Text" textEncoding="utf-8" useDefaultWebProxy="true"
                    allowCookies="false">
                    <readerQuotas maxDepth="200" maxStringContentLength="8192" maxArrayLength="16384"
                        maxBytesPerRead="4096" maxNameTableCharCount="16384" />
                    <reliableSession ordered="true" inactivityTimeout="00:10:00"
                        enabled="false" />
                    <security mode="Transport">
                        <transport clientCredentialType="Windows" proxyCredentialType="None"
                            realm="" />
                        <message clientCredentialType="Windows" negotiateServiceCredential="true" />
                    </security>
                </binding>
            </wsHttpBinding>
        </bindings>
        <client>
            <endpoint address="https://MyService.svc"
                binding="wsHttpBinding" behaviorConfiguration="WindowsAuthentication" bindingConfiguration="wsHttpEndpoint"
                contract="ADATrackingService.IADATrackingService" name="wsHttpEndpoint">
                <identity>
                    <servicePrincipalName value="host/MyServer.com" />
                </identity>
            </endpoint>
        </client>
    </system.serviceModel>
</configuration>

我的服务调用只是使用允许模拟的元数据从 SQL 返回简单查询。每次我运行客户端并从我的服务中调用某些东西时,即使在 IIS 中设置了 AnonymousAuthentication=false,我也会在打开“NT Authority/ANONYMOUS LOGIN”的数据连接时遇到错误???任何帮助将不胜感激。谢谢!

[OperationBehavior(Impersonation = ImpersonationOption.Required)]
public List<IndividualDisability> GetIndividualDisabilities()

    WindowsIdentity callerWindowsIdentity = ServiceSecurityContext.Current.WindowsIdentity;
    if (callerWindowsIdentity == null)
    
        throw new InvalidOperationException
         ("The caller cannot be mapped to a Windows identity.");
    
    using (callerWindowsIdentity.Impersonate())
    
        using (var context = new ADATrackingEntities())
        
            return context.IndividualDisabilities.OfType<IndividualDisability>().Include("ADACode").Include("Individual").Include("Disability").ToList();
        
    

【问题讨论】:

【参考方案1】:

好吧,今天又浏览了一些。我终于让它工作了!问题是在活动目录中,我需要允许委派到 SQL Server 框。 AD 中有一个设置,您必须在 Web 服务器框上进行设置,以允许它在端口 1433 上委托给您的 SQl 服务器框上的 SQl 服务。我还必须确保在 Web 服务器上设置了 kerebos 身份验证。这篇博文准确地解释了我的情况,并帮助我从头到尾完成了工作:

ASP.Net Impersonation

【讨论】:

【参考方案2】:

在 IIS 中,您是否明确删除了匿名身份验证?执行以下操作:

    打开 IIS 管理器。 导航到您的 WCF 服务应用程序。 在功能视图的 IIS 下,单击身份验证。 删除除 Windows 身份验证之外的任何身份验证方案。 (默认情况下启用匿名。)

为帮助确保您的 WPF 应用程序不会受到任何干扰,请先使用 wcftestclient 进行测试。

    打开开发人员命令窗口(开始菜单>程序>Microsoft Visual Studio 2010>Visual Studio 工具>Visual Studio 命令提示符 (2010)) wcftestclient https://url.to/myservice.svc

【讨论】:

感谢您的回复。我认为我已经在 IIS 和服务中正确配置了所有内容。使用 WCF 测试客户端运行时,我现在收到错误:“未提供所需的模拟级别,或者提供的模拟级别无效。” 啊哈!您是否尝试过硬编码您的模仿只是为了它?将以下内容添加到 web.config 以确保从服务到 SQL 服务器是正常的: 即使在对 web.config 中的值进行硬编码时,我也会遇到错误。 “为 NT 授权/匿名登录登录 SQL 失败”。我在想我可能需要在我的 SQL 框上配置一些东西?? 在仔细检查了我的配置后,我现在遇到了一个新错误。登录到 mydomain/machinename$ 的 SQL 失败,而不是我在 web.config 中输入以模拟的 mydomain/username。我想知道为什么它试图作为机器名连接到 SQL Server?? 为了澄清我的网络服务器和 SQL 服务器在不同的机器上。

以上是关于使用 Windows 身份验证的 IIS 托管 WCF 服务和 SQL 查询的主要内容,如果未能解决你的问题,请参考以下文章

IIS 混合匿名和 Windows 身份验证

使用 Silverlight 5、IIS 7.5 对 WCF 服务进行 Windows 身份验证

WCF - Windows 身份验证 - 安全设置需要匿名

WCF 托管在 IIS6 上

使用 Windows Auth NTLM 进行身份验证

IIS 托管具有 SSL 安全性的 WCF -“HTTP 请求被客户端身份验证方案‘匿名’禁止”错误