将我的网站移动到不同的服务器会将身份验证从 Kerberos 更改为 NTLM

发布于 2024-11-07 17:55:16 字数 1819 浏览 1 评论 0原文

我有一个配置为 Windows 身份验证的 Web 服务。调用 WS 的客户端代码将凭据传递给 WS，如下所示：（

myWebService.Credentials = System.Net.CredentialCache.DefaultCredentials;

我的理解是，这代表登录用户的用户名-密码-域）。

我正在测试配置问题，并对如何确保设置 Kerberos 感到困惑。

详细信息如下：

我在同一个 IIS 服务器上有 2 个虚拟目录（一个是带有 .aspx 页面的“客户端”），另一个是“服务器”（它托管客户端调用的 Web 服务）。

我的客户端通过以下代码显示有关连接用户的关键信息：

private string GetUserInfo()
    {
        System.Security.Principal.WindowsIdentity UserIdentityInfo;
        StringBuilder msg = new StringBuilder("User Name: ");
        UserIdentityInfo = System.Security.Principal.WindowsIdentity.GetCurrent();
        msg.Append(UserIdentityInfo.Name);
        msg.Append(Environment.NewLine);
        msg.Append(" Token: ");
        msg.Append(UserIdentityInfo.Token.ToString());
        msg.Append(Environment.NewLine);
        msg.Append(" Authenticated: ");
        msg.Append(UserIdentityInfo.AuthenticationType);
        msg.Append(Environment.NewLine);
        msg.Append(" System: ");
        msg.Append(UserIdentityInfo.IsSystem);
        msg.Append(Environment.NewLine);
        msg.Append(" Guest: ");
        msg.Append(UserIdentityInfo.IsGuest);
        msg.Append(Environment.NewLine);
        msg.Append(" Anonymous: ");
        msg.Append(UserIdentityInfo.IsAnonymous);
        msg.Append(Environment.NewLine);
        return msg.ToString();
    }

当 Web 客户端和被调用的 Web 服务位于同一服务器（例如 SERVER1）上时，身份验证类型为 Kerberos。实际执行也正确。

当调用相同的 Web 客户端代码时，身份验证类型更改为 NTLM，但它现在驻留在 SERVER2 上。被调用的Web服务仍然驻留在原始服务器（SERVER1）上。由于凭据不正确，实际执行失败。

SERVER1 和 SERVER2 位于同一局域网（同一域），并且我用于测试上述每个场景的域帐户是相同的（我位于每台计算机上的管理员组中）。

我如何配置它，以便 KERBEROS 成为身份验证类型 - 也就是说，当“我”从浏览器调用 SERVER2 上的此客户端时？

原文

I have a webservice that is configured for Windows Authentication. The client code that invokes the WS passes along the credentials to the WS as follows:

myWebService.Credentials = System.Net.CredentialCache.DefaultCredentials;

(my understanding is that this represents the username-password-domain of logged on user).

I am testing configuration issues and confused about how to ensure Kerberos is set.

DETAILS Follow:

I have 2 virtual directories on the same IIS server (one is a "client" with .aspx pages) and the other is the "server" (it hosts a webservice that the client invokes).

My client displays key info about the connecting user via this code:

private string GetUserInfo()
    {
        System.Security.Principal.WindowsIdentity UserIdentityInfo;
        StringBuilder msg = new StringBuilder("User Name: ");
        UserIdentityInfo = System.Security.Principal.WindowsIdentity.GetCurrent();
        msg.Append(UserIdentityInfo.Name);
        msg.Append(Environment.NewLine);
        msg.Append(" Token: ");
        msg.Append(UserIdentityInfo.Token.ToString());
        msg.Append(Environment.NewLine);
        msg.Append(" Authenticated: ");
        msg.Append(UserIdentityInfo.AuthenticationType);
        msg.Append(Environment.NewLine);
        msg.Append(" System: ");
        msg.Append(UserIdentityInfo.IsSystem);
        msg.Append(Environment.NewLine);
        msg.Append(" Guest: ");
        msg.Append(UserIdentityInfo.IsGuest);
        msg.Append(Environment.NewLine);
        msg.Append(" Anonymous: ");
        msg.Append(UserIdentityInfo.IsAnonymous);
        msg.Append(Environment.NewLine);
        return msg.ToString();
    }

Authentication type is Kerberos when BOTH webclient and the called webservice are on the same server (eg. SERVER1). Actual execution works correctly too.

Authentication type changes to NTLM when this same webclient code in invoked but it now resides on SERVER2. The called webservice still resides on the original server (SERVER1). Actual execution FAILS because the credentials are not correct.

SERVER1 and SERVER2 are on the same local area network (same DOMAIN) and the domain account I use for testing each scenario above is the same (I am in Administrators group on each machine).

How can I configure this so KERBEROS is the authentication type - that is, when this client on SERVER2 is invoked from a browser by "me"?

分享到QQ

分享到微博