我们正在使用LsaCallAuthenticationPackage和KerbRetrieveEncodedTicketMessage类型的KERB_RETRIEVE_TKT_REQUEST。
我们冒充Windows身份,然后使用LsaCallAuthenticationPackage获取门票。
我们可以在使用无约束委派时检索票证(tgt和服务票证)。当我们尝试约束委派时,对LsaCallAuthenticationPackage的调用失败:LsaStatus 2148074254:指定的登录会话不存在。它可能已经被终止
我们的服务通过集成Windows身份验证接收初始Windows身份。
我们检查并重新检查了约束委派配置和SPN ......一切似乎都没问题。
我们观察到,对于IWA,只要服务帐户设置为使用约束委派(这可能与我们的问题有关,也可能与我们的问题无关),WindowsIdentity的模拟级别就会从委派更改为模拟。我们正在运行非IIS托管的WCF Web服务,该服务接收标识。
我们想知道在使用约束委派时,为了检索票证,KERB_RETRIEVE_TKT_REQUEST的设置是否存在一些差异。
或者,也许有一些WCF设置需要以不同的方式完成。
谢谢,