Question

在IIS7上拥有托管的WCF服务.net 3.5sp1，其中域帐户运行应用程序池。我想要Windows身份验证，wsHttpBinding和匿名关闭。删除了mex端点，设置了邮件安全性，但仍然得到：

此服务的安全设置需要“匿名”身份验证，但不会为承载此服务的IIS应用程序启用。

我尝试了大约50种不同的web.config配置，但没有快乐。

当前的web.config：

<system.serviceModel>
    <behaviors>
        <serviceBehaviors>
            <behavior name="PressReleaseService.PRBehavior">
                <serviceMetadata httpGetEnabled="true" />
                <serviceDebug includeExceptionDetailInFaults="true" />
            </behavior>
        </serviceBehaviors>
    </behaviors>
    <services>
        <service behaviorConfiguration="PressReleaseService.PRBehavior" name="PressReleaseService.PR">
            <endpoint address="" binding="wsHttpBinding" contract="PressReleaseService.IPR">
                <identity>
                    <dns value="localhost"/>
                </identity>
            </endpoint>
        </service>
    </services>
    <bindings>
        <wsHttpBinding>
            <binding name="WSHttpBinding_IPR" closeTimeout="00:01:00" openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00" bypassProxyOnLocal="false"
            transactionFlow="false" hostNameComparisonMode="StrongWildcard"
            maxBufferPoolSize="524288" maxReceivedMessageSize="65536" messageEncoding="Text"
            textEncoding="utf-8" useDefaultWebProxy="true" allowCookies="false">
                <readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
                maxBytesPerRead="4096" maxNameTableCharCount="16384" />
                <reliableSession ordered="true" inactivityTimeout="00:10:00"
                enabled="false" />
                <security mode="Message">
                    <message clientCredentialType="Windows" negotiateServiceCredential="false"
                    algorithmSuite="Default" establishSecurityContext="true" />
                </security>
            </binding>
        </wsHttpBinding>
    </bindings>
</system.serviceModel>

此外，还有另一个服务在同一个应用程序池下运行，其中包含mex，主端点有wsHTTPBinding，并且它只在IIS中启用了Windows身份验证。

任何线索？

Answer 1

IIS7中的解决方案：

web.config文件中的以下行：

<serviceMetadata httpGetEnabled="true" />

要求对.svc文件进行匿名访问以进行http访问。要授予此权限，请打开IIS管理器并禁用匿名身份验证，并在应用程序的顶部启用Windows身份验证。然后，进入“内容视图”标签，右键单击.svc文件。选择“切换到功能视图”。这将导致.svc文件被添加到左侧的目录树中。从那里，您可以转到IIS下的“身份验证”并将“匿名身份验证”设置为启用。现在您可以匿名访问mex端点（我将其添加回来），但在其他地方都有Windows身份验证。结果是c：\ Windows \ System32 \ inetsrv \ config \ applicationHost.config文件中的更改如下所示：

<location path="Default Web Site/PRService_Dev">
    <system.webServer>
        <security>
            <authentication>
                <anonymousAuthentication enabled="false" />
                <windowsAuthentication enabled="true" />
            </authentication>
        </security>
    </system.webServer>
</location>
<location path="Default Web Site/PRService_Dev/PR.svc">
    <system.webServer>
        <security>
            <authentication>
                <anonymousAuthentication enabled="true" />
            </authentication>
        </security>
    </system.webServer>
</location>

Answer 2

您必须使用传输安全性将身份验证委派给IIS并使用您在IIS中配置的设置。在这种情况下Windows身份验证。

＆lt; security mode =“Transport”＆gt; ＆lt; transport clientCredentialType =“Windows”/＆gt; ＆LT; /安全＆GT;

使用clientCredentialType进行消息身份验证意味着您希望使用kerberos向安全性发送消息，因此只应在IIS上启用匿名。

wsHttpBinding在IIS 7上的WCF服务中仅使用Windows身份验证

2 个答案: