我有一个.NET WCF客户端与Java服务器组件通信。服务器端身份验证是通过配置为反向代理的中间Apache服务器完成的。
.NET客户端的配置如下:
<basicHttpBinding>
<binding name="AdministrationServiceImplServiceSoapBinding">
<security mode="TransportCredentialOnly">
<transport clientCredentialType="Windows" proxyCredentialType="Windows" />
</security>
</binding>
</basicHttpBinding>
Apache配置为需要Kerveros身份验证:
<LocationMatch "^...$">
AuthType Kerberos
Krb5Keytab ...
KrbServiceName HTTP/hostname
KrbMethodNegotiate on
KrbMethodK5Passwd off
Require valid-user
Satisfy All
</LocationMatch>
如果我在Windows 7上启动我的应用程序,一切都按预期工作:.NET客户端使用Kerberos,Apache验证客户端,我可以使用Spring安全性访问客户端凭据。
如果我在Windows XP上启动应用程序,则会收到HTTP 401错误消息。在使用WireShark观看网络通信后,我看到了这种情况:
(1)初次尝试访问未经身份验证的Web服务
POST <path> HTTP/1.1
Content-Type: text/xml; charset=utf-8
SOAPAction: ""
Host: <host>
Content-Length: 374
Expect: 100-continue
Connection: Keep-Alive
(2)100继续从服务器回复
HTTP/1.1 100 Continue
(3)来自客户端的SOAP请求(仍未经过身份验证)
(4)服务器给出401响应
HTTP/1.1 401 Authorization Required
Server: Apache
WWW-Authenticate: Negotiate
(5)尝试使用NTLM进行身份验证
POST <path> HTTP/1.1
Content-Type: text/xml; charset=utf-8
SOAPAction: ""
Authorization: Negotiate TlRMTVNTUAABAAAAt4IY4gAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw==
Host: <host>
Content-Length: 0
(6)来自服务器的401消息(我们这里不讲NTLM!)
HTTP/1.1 401 Authorization Required
(7)客户放弃
当我从客户端解码Base64协商头时,它以NTLMSSP\x00
开头,表示客户端想要进行NTLM身份验证,尽管配置文件指定了“Windows”(也称为Kerberos)进行身份验证。
我能在客户端做些什么来说服.NET使用Kerberos吗?如果没有,我的Apache应该返回什么,以便客户端知道它应该使用Kerberos?
答案 0 :(得分:0)
Windows未对Kerberos安全服务使用正确的服务主体名称(SPN):使用Kerberos时,Windows应在活动目录中查找SPN HTTP/$servername
。
错误的可能原因是该服务的SPN不存在且必须创建(c.f。Kerberos Authentication problems – Service Principal Name (SPN) issues - Part 3)。但是,在我的设置中,SPN确实存在,但不知何故Windows没有检索它们。使用KerbTray我确认Windows确实没有包含HTTP/$servername
的Kerberos票证。
解决方案是在WCF客户端配置中明确定义SPN。
<endpoint address="http://$servername/Service" />
成了
<endpoint address="http://$servername/Service" />
<identity>
<servicePrincipalName value="HTTP/$servername" />
</identity>
</endpoint>