WCF Windows 服务数据库连接和模拟问题

【问题标题】:WCF Windows service DB connexion and impersonation questionWCF Windows 服务数据库连接和模拟问题
【发布时间】:2011-08-12 16:14:50
【问题描述】:

我有一个关于 WCF 模拟的问题。我想连接到客户端应用程序调用的 WCF Windows 服务上的数据库。与数据库的连接应使用运行服务的帐户来完成。但我想验证对 WCF 服务的调用是否来自受信任的来源(验证客户端应用程序的用户是否是域的经过身份验证的用户)。

您建议我使用哪种安全措施?

我尝试过模拟,但在尝试从 Windows 服务连接到数据库时出现此错误:

System.Data.SqlClient.SqlException:用户“NT AUTHORITY\ANONYMOUS LOGON”登录失败。

配置字符串是这样的:

server=myServer;初始目录=myDatabase;Integrated Security=True

服务的 WCF 配置如下所示:

<system.serviceModel>
<services>
  <service name="MyNamespace.MyService"
           behaviorConfiguration="TransfertServiceBehavior">
    <host>
      <baseAddresses>
        <add baseAddress="net.tcp://localhost:8095/MyNamespace.MyService"/>
      </baseAddresses>
    </host>
    <endpoint address=""
              binding="netTcpBinding"
              bindingConfiguration="TransactionalBinding"
              contract="myContract" />
    <endpoint address="mex"
              binding="mexTcpBinding"
              contract="IMetadataExchange" />
  </service>
</services>

<bindings>
  <netTcpBinding>
    <binding name="TransactionalBinding"
             transferMode="Streamed" transactionFlow="true" maxReceivedMessageSize="1000000000">
      <readerQuotas maxDepth="10000" maxStringContentLength="1000000000"
              maxArrayLength="1000000000" maxBytesPerRead="10000" maxNameTableCharCount="10000" />
      <security mode="Transport" />
    </binding>

  </netTcpBinding>
</bindings>

<behaviors>
  <serviceBehaviors>
    <behavior name="TransfertServiceBehavior">
      <serviceMetadata httpGetEnabled="False"/>
      <serviceDebug includeExceptionDetailInFaults="false"/>
      <serviceAuthorization impersonateCallerForAllOperations="true" />
    </behavior>
  </serviceBehaviors>
</behaviors>

客户端应用程序上的配置如下所示:

<system.serviceModel>
<bindings>
  <netTcpBinding>
    <binding name="NetTcpBinding_Client" closeTimeout="00:01:00"
      openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00"
      transactionFlow="true" transferMode="Streamed" transactionProtocol="OleTransactions"
      hostNameComparisonMode="StrongWildcard" listenBacklog="10" maxBufferPoolSize="1000000000"
      maxBufferSize="1000000000" maxConnections="10" maxReceivedMessageSize="65536">
      <readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="1000000000"
        maxBytesPerRead="4096" maxNameTableCharCount="16384" />
      <reliableSession ordered="true" inactivityTimeout="00:10:00"
        enabled="false" />
      <security mode="Transport">
        <transport clientCredentialType="Windows" protectionLevel="EncryptAndSign" />
        <message clientCredentialType="Windows" />
      </security>
    </binding>
  </netTcpBinding>
</bindings>
<client>

  <endpoint address="net.tcp://localhost:8095/MyNamespace.MyService"
    binding="netTcpBinding" bindingConfiguration="NetTcpBinding_Client"
    contract="myContract" behaviorConfiguration="ImpersonationBehavior">
    <identity>
      <userPrincipalName value="myUsername@intra.myDomain.ca" />
    </identity>
  </endpoint>
</client>

<behaviors>
  <endpointBehaviors>
    <behavior name="ImpersonationBehavior">
      <clientCredentials>
        <windows allowedImpersonationLevel="Impersonation" />
      </clientCredentials>
    </behavior>
  </endpointBehaviors>
</behaviors>

【问题讨论】:

    标签: sql-server wcf windows-services wcf-security


    【解决方案1】:

    如果您的 WCF 模拟,那么您必须为 WCF 帐户服务启用 Kerberos Constrained Delegation,另请参阅 Delegation and Impersonation with WCF

    详细说明Configure the WCF Service Identity Trusted for Constrained Delegation

    • 在域控制器上,启动 Microsoft 管理控制台 (MMC) Active Directory 用户和计算机管理单元。
    • 在 MMC 管理单元的左窗格中,单击“计算机”节点。
    • 在右侧窗格中,双击您的 WCF 服务器计算机以 显示“属性”对话框。
    • 在 WCF 服务器的“属性”窗口的“委派”选项卡上 计算机,不信任委托的计算机被选择 默认。要使用约束委派,请选择信任此计算机 仅委托给指定的服务。您准确指定哪个 可以在底部窗格中访问一个或多个服务。
    • 在信任此计算机以委派指定服务下 仅,保留默认选项“仅使用 Kerberos”。
    • 单击“添加”按钮以显示“添加服务”对话框。
    • 点击用户或计算机按钮。

    • 在“选择用户或计算机”对话框中,键入您的名称 数据库服务器计算机(如果您将 SQL Server 作为系统运行)或 网络服务。

      或者,如果您使用自定义运行 SQL Server 域帐户,请输入该帐户名称,然后单击确定。 您将看到为所选用户配置的所有 SPN 或 电脑帐户。要限制对 SQL Server 的访问,请选择 MSSQLSvc 服务,然后单击确定。

    【讨论】:

    • 非常感谢!这很有帮助。我猜这是实现最佳安全性的方法。
    【解决方案2】:

    从您的服务配置中删除此行:

    <serviceAuthorization impersonateCallerForAllOperations="true" />

    这来自您的客户端配置:

    <behaviors>
  <endpointBehaviors>
    <behavior name="ImpersonationBehavior">
      <clientCredentials>
        <windows allowedImpersonationLevel="Impersonation" />
      </clientCredentials>
    </behavior>
  </endpointBehaviors>
</behaviors>

    模拟意味着所有操作都将在模拟用户的上下文中完成 = 服务的身份被替换为调用用户的身份。如果您的 SQL 服务器本地安装在运行 Windows 服务的计算机上,您对数据库的调用也将被模拟。

    如果您关闭模拟,您将获得您想要的,因为在服务中执行将使用服务帐户,但服务将验证每个调用客户端。它由您的 netTcpBinding 配置完成,该配置使用 Windows 集成身份验证的传输安全性。

    【讨论】:

    • 为了清楚起见,第一个服务调用运行良好。但是随后此服务本身调用了第二个 WCF 远程服务,并且在第二个调用中出现此错误。
    猜你喜欢
    • 1970-01-01
    • 2014-03-23
    • 1970-01-01
    • 2016-11-12
    • 1970-01-01
    • 2014-04-28
    • 1970-01-01
    • 2010-12-18
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode