在工作站 A 和 B 上使用相同凭据进行模拟授权失败

Question

案例 1. 当我从自己的 PC 上浏览一个名为 JOHNXP 的小测试站点时（例如 http://localhost/WebClient ） ，我的 .aspx 页面调用我的 ASMX Web 服务来获取我的凭据并将其传递到同一域中另一台计算机 (SERVERTRIM) 上的另一个 Web 服务。 我可以看到我的请求在 SERVERTRIM 计算机上生成了带有我的凭据的安全日志条目。

案例 2. 我移动到同一域中的另一台 PC，并使用我在个人桌面上使用的相同凭据登录。 当我浏览上面相同的测试网站时（这次是 http://johnxp/WebClient ），我得到了这个渗透回来到我的 .aspx 页面：

System.Web.Services.Protocols.SoapException：服务器无法处理请求。 ---> System.Net.WebException: 请求失败，HTTP 状态为 401: 未经授权

查看 SERVERTRIM 上的安全日志，我注意到情况 2 中的访问导致了匿名登录，这似乎可以解释 401/未经授权。

当我的 WS 在不同的服务器上调用供应商的 Web 服务时，我试图让我的 Web 服务使用登录的 DOMAIN 用户的凭据。

我的 ASMX Web 服务在我的桌面上运行（IIS 5.1 WinXP Pro - 计算机名称为 JOHNXP）。 我在涉及的每台服务器中都启用了未选中的匿名功能，并且在我的场景中涉及的每个 web.config 中都有此功能：

供应商 Web 服务在 SERVERTRIM（Win 2003 Server）上运行，它也是 ASMX 并使用 WSE 3.0。

Wireshark 和 Netmon 现在对我来说看起来太强大了。 我认为“远程”服务器（SERVERTRIM）上的不同结果登录是足够的“证据”。 上面的所有机器都在同一个域中，但如果可能的话，我想将“远程”Web 服务保留在 SERVERTRIM 上，并将中间 Web 服务保留在同一域中的不同服务器上。 这种情况是否要求我必须深入研究“委托”？ 当在域中的另一台计算机上发起 Web 请求时，监控为什么相同的凭据会导致匿名登录的最简单工具是什么？

Answer 1

我对身份验证的了解有点模糊，但如果我正确理解了您的描述：

• 在第一种情况下，您正在浏览到 localhost，它模拟调用者，然后调用另一台计算机上的 Web 服务。 模拟是在与客户端相同的计算机上完成的。 我相信在这种情况下，模拟应用程序不需要位于受信任委派的计算机上（因为它已经与客户端是同一台计算机）。

• 在第二种情况下，您正在浏览到一台不同电脑，该电脑在呼叫第三台电脑时试图冒充呼叫者。 在这种情况下，中间的 PC 需要被信任进行委派（如果它是开发工作站，则可能不会如此）。