Как настроить службу WCF, развернутую на IIS и удаленном клиенте, для аутентификации с удаленного клиентского ПК?

Я нуб; Пожалуйста, помогите мне разобраться в этом аутентификации конфигурации / привязки вещи, которые меня так смущают.

У меня есть служба CF WCF, развернутая на IIS 7 в Win 2008. Мой клиент - это приложение Windows Forms C#. Мой клиент прекрасно работает, когда он запускается с того же сервера, на котором работает служба WCF, но когда я пытаюсь запустить свой клиент с удаленного ПК, я получаю следующее исключение...

System.ServiceModel.Security.SecurityNegotiationException: вызывающая сторона не была аутентифицирована службой.

Я прочитал несколько сообщений об этих проблемах и знаю, что моя проблема в том, что моя служба и клиент настроены на использование проверки подлинности Windows, которая, по-моему, используется по умолчанию при использовании Visual Studio для создания службы и добавления ссылки на службу. клиенту. Ниже приведен мой конфиг до того, как я внес какие-либо изменения, когда он все еще был установлен в Windows (с удаленными ненужными битами)...

Web.Config

<system.web>
    ...
    <authentication mode="Windows"/>
    ...

<system.serviceModel>
    <services>
        <service name="MCLaborServer.LaborService" behaviorConfiguration="MCLaborServer.LaborServiceBehavior">
            <!-- Service Endpoints -->
            <endpoint address="" binding="wsHttpBinding" contract="MCLaborServer.ILaborService">
                <!-- 
          Upon deployment, the following identity element should be removed or replaced to reflect the 
          identity under which the deployed service runs.  If removed, WCF will infer an appropriate identity 
          automatically.
      -->
                <identity>
                    <dns value="localhost"/>
                </identity>
            </endpoint>
            <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange"/>
        </service>
    </services>
    <behaviors>
        <serviceBehaviors>
            <behavior name="MCLaborServer.LaborServiceBehavior">
                <!-- To avoid disclosing metadata information, set the value below to false and remove the metadata endpoint above before deployment -->
                <serviceMetadata httpGetEnabled="true"/>
                <!-- To receive exception details in faults for debugging purposes, set the value below to true.  Set to false before deployment to avoid disclosing exception information -->
                <serviceDebug includeExceptionDetailInFaults="false"/>
            </behavior>
        </serviceBehaviors>
    </behaviors>
</system.serviceModel>

И из App.Config на клиенте...

<system.serviceModel>
    <bindings>
        <wsHttpBinding>
            <binding name="WSHttpBinding_ILaborService" closeTimeout="00:01:00"
                openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00"
                bypassProxyOnLocal="false" transactionFlow="false" hostNameComparisonMode="StrongWildcard"
                maxBufferPoolSize="524288" maxReceivedMessageSize="65536"
                messageEncoding="Text" textEncoding="utf-8" useDefaultWebProxy="true"
                allowCookies="false">
                <readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
                    maxBytesPerRead="4096" maxNameTableCharCount="16384" />
                <reliableSession ordered="true" inactivityTimeout="00:10:00"
                    enabled="false" />
                <security mode="Message">
                    <transport clientCredentialType="Windows" proxyCredentialType="None"
                        realm="" />
                    <message clientCredentialType="Windows" negotiateServiceCredential="true"
                        algorithmSuite="Default" establishSecurityContext="true" />
                </security>
            </binding>
        </wsHttpBinding>
    </bindings>
    <client>
        <endpoint address="http://<myDnsNameGoesHere>/MCLaborServer/LaborService.svc"
            binding="wsHttpBinding" bindingConfiguration="WSHttpBinding_ILaborService"
            contract="LaborService.ILaborService" name="WSHttpBinding_ILaborService">
            <identity>
                <dns value="localhost" />
            </identity>
        </endpoint>
    </client>
</system.serviceModel>

Итак, сначала я изменил "authentication mode="None"" в web.config и установил "security mode="None"" в клиентском app.config, а также установил clientCredentialType="None" для сообщения и транспорта. Я также прокомментировал разделы "identity" как в web.config, так и в app.config клиента. Это сломало его полностью, и теперь клиент, работающий локально, даже не будет работать; выдает ошибку "Удаленный сервер возвратил неожиданный ответ: (405) метод не разрешен".

Итак, что я могу сделать, чтобы отключить защиту и подключиться через удаленный клиент? У меня есть анонимный доступ, кстати, в IIS для моего приложения.

Я также хотел бы спросить, каков наилучший практический способ настройки этого, чтобы я мог выполнять вызовы веб-службы на удаленном клиенте через Интернет в полузащищенном режиме без использования SSL или чего-либо, что стоило бы денег. Я не особо обеспокоен безопасностью данных, потому что это не очень важные данные, но все же я хотел бы убедиться, что сервер не открыт для атак.

Кроме того, я прочитал, что могу использовать проверку подлинности Windows, а затем явно указать учетные данные в коде, как показано ниже. Если я это сделаю, это все еще будет работать удаленно? И если да, то в результате этого мои учетные данные Windows для сервера будут передаваться по проводам небезопасным способом, и тогда я буду готов к перехвату моих учетных данных?

SomeService.ServiceClient someService = new SomeService.ServiceClient(); 
someService.ClientCredentials.Windows.ClientCredential.UserName="windowsuseraccountname" 
someService.ClientCredentials.Windows.ClientCredential.Password="windowsuseraccountpassword"

Я прочитал следующие посты / ссылки, но все еще в замешательстве. Спасибо за любую помощь!

Ошибка WCF: вызывающая сторона не была аутентифицирована службой

Как исправить сообщение "Звонящий не был аутентифицирован сервисом"?

http://msdn.microsoft.com/en-us/library/aa291347(v=vs.71).aspx

http://www.devx.com/codemag/Article/33342/1763/page/2

Источник

2 ответа

Решение

Я исправил это, изменив привязку к basicHttpBinding, изменив аутентификацию на Forms и отключив защиту.

Источник

Мы столкнулись с похожими проблемами при настройке служб WCF с низким уровнем безопасности, которые работали в разных доменах. Одна из самых больших проблем (если это можно так назвать) заключается в том, что WCF по умолчанию настроен на очень высокий уровень безопасности. Поскольку наше приложение было полностью в защищенной сети, нам не нужно было беспокоиться о множестве сложных сертификатов. Наш обходной путь заключался в создании пользовательской привязки, которая позволяла нам использовать аутентификацию по имени пользователя и паролю для наших сервисов без какого-либо шифрования. Мы основали нашу реализацию на ясной привязке имени пользователя Yaron Naveh. Я бы порекомендовал вам взглянуть на это (и на его пост в блоге, представляющий это).

Некоторые полезные ресурсы для изучения привязок и безопасности WCF:

Источник
Другие вопросы по тегам