WCF 安全支持提供程序接口 (SSPI) 协商失败答案

【问题标题】：WCF The Security Support Provider Interface (SSPI) negotiation failedWCF 安全支持提供程序接口 (SSPI) 协商失败
【发布时间】：2011-04-01 06:18:30
【问题描述】：

我正在使用我创建的 wcf 服务，当主机和客户端计算机都在同一个域上时，一切正常。当我将客户端应用程序发布到 DMZ 中的网络服务器时，我收到以下错误：

SOAP security negotiation with 'http://10.0.0.14:3790/Bullfrog/QBService/QBService' for   
target 'http://10.0.0.14:3790/Bullfrog/QBService/QBService' failed. See inner exception  
for more details.The Security Support Provider Interface (SSPI) negotiation failed.

这是我设置服务的主要服务

      Uri baseAddress = new Uri("Http://10.0.0.14:3790/Bullfrog/QBService");
      ServiceHost selfHost = new ServiceHost(typeof(QBService), baseAddress);

            try
            {
                selfHost.AddServiceEndpoint(
                    typeof(IQBService),
                    new WSHttpBinding(),
                    "QBService");

                ServiceMetadataBehavior smb = new ServiceMetadataBehavior();
                smb.HttpGetEnabled = true;
                selfHost.Description.Behaviors.Add(smb);
                selfHost.Open();

                Console.WriteLine("The service is ready");


            }
            catch (CommunicationException ce)
            {
                //log.Error(ce.Message, ce);
                Console.WriteLine(ce.Message, ce);
                selfHost.Abort();
            }

这是我客户端的配置部分

  <system.serviceModel>
<bindings>
  <wsHttpBinding>
    <binding name="WSHttpBinding_IQBService" closeTimeout="00:01:00"
        openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00"
        bypassProxyOnLocal="false" transactionFlow="false" hostNameComparisonMode="StrongWildcard"
        maxBufferPoolSize="524288" maxReceivedMessageSize="65536"
        messageEncoding="Text" textEncoding="utf-8" useDefaultWebProxy="true"
        allowCookies="false">
      <readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
          maxBytesPerRead="4096" maxNameTableCharCount="16384" />
      <reliableSession ordered="true" inactivityTimeout="00:10:00"
          enabled="false" />
      <security mode="Message">
        <transport clientCredentialType="Windows" proxyCredentialType="None"
            realm="" />
        <message clientCredentialType="Windows" negotiateServiceCredential="true"
            algorithmSuite="Default" />
      </security>
    </binding>
  </wsHttpBinding>
</bindings>
<client>
  <endpoint address="http://10.0.0.14:3790/Bullfrog/QBService/QBService"
      binding="wsHttpBinding" bindingConfiguration="WSHttpBinding_IQBService"
      contract="IQBService" name="WSHttpBinding_IQBService">
    <identity>
      <userPrincipalName value="Administrator@bullfrogspas.local" />
    </identity>
  </endpoint>
</client>

我确定问题是因为它使用的是 Windows 身份验证。有任何想法吗？谢谢！

【问题讨论】：

我不是 100% 确定，所以我不会将此作为答案发布，但 IMO Windows 身份验证只有在客户端和服务器位于同一域或受信任域时才可能。顺便提一句。如果内部网络和 DMZ 都是您企业基础设施的一部分，您为什么选择具有消息安全性的 WsHttpBinding？这是最慢的选择。
如果内部网络和 DMZ 都是您企业基础设施的一部分，为什么您选择具有消息安全性的 WsHttpBinding？-- 因为我不知道任何其他方式 :) 我应该使用哪种方式？如前所述，我确信这是导致问题的 Windows 身份验证。那么我需要改用什么？谢谢！

标签： c# wcf wcf-security

【解决方案1】：

我认为这行不通，而且我没有快速测试它的环境。 SSPI 使用 NTLM 或 Kerberos（如果不使用服务凭据协商，则必须使用）对客户端上的服务和服务上的客户端进行身份验证。 NTLM 和 Kerberos 都需要相同的域或受信任的域。

如果您想使用消息安全性，您可以将配置更改为使用证书或用户名 + 密码（服务仍需要证书）。您可以在活动目录或任何其他凭据存储中验证用户名和密码。

请记住，消息安全是最慢的。传输安全 (HTTPS) 可以实现更好的性能 - 它可以通过网络设备加速。如果您使用 HTTPS，则可以将其与基本身份验证结合使用，并从您的代码中提供客户端凭据，这样您就可以在内部区域中调用服务，并使用域凭据进行身份验证。服务将通过其用于 HTTPS 的证书进行身份验证。 HTTPS 还允许相互证书身份验证，其中客户端将证书发送到服务 - 如果正确配置的客户端证书可以映射到域帐户。这两种方法类似于消息安全中提到的方法，但不是在 SOAP 标头中发送凭据，而是使用 HTTP 标头。

【讨论】：

谢谢！我非常感谢你在这方面的帮助。！我让它与基本绑定一起工作。尽管在使用它之前我可能需要为其添加安全性。我不知道，当主机在防火墙后面，唯一的客户端在 DMZ 中时，安全的风险和需求是什么？
这取决于您的网络架构。如果您可以直接访问该服务（无需任何代理），您可以毫无问题地使用 HTTPS。如果您通过某个应用程序代理（如 ISA 服务器）访问服务，您将在客户端和 ISA 之间建立单独的 HTTPS 连接，在 ISA 和服务之间建立另一个连接。 ISA 服务器上的邮件将不安全，但通常不会有问题，因为 ISA 服务器在您的控制之下。

【解决方案2】：

我认为您应该在 web.config 中注释以下代码

<identity>
      <userPrincipalName value="Administrator@bullfrogspas.local" />
</identity>

因为它解决了我的问题。

【讨论】：