#wcf #.net-3.5 #iis-7
#wcf #.net-3.5 #iis-7
Вопрос:
Имейте размещенную службу WCF, .net 3.5sp1 на IIS7, с учетной записью домена, управляющей пулом приложений. Я хочу, чтобы проверка подлинности Windows, привязка wsHttpBinding и анонимность были отключены. Удалена конечная точка mex, установлена безопасность сообщений, но все равно получаю:
Параметры безопасности для этой службы требуют «анонимной» аутентификации, но она не включена для приложения IIS, в котором размещена эта служба.
Я перепробовал около 50 различных конфигураций web.config, но без радости.
Текущий web.config:
<system.serviceModel>
<behaviors>
<serviceBehaviors>
<behavior name="PressReleaseService.PRBehavior">
<serviceMetadata httpGetEnabled="true" />
<serviceDebug includeExceptionDetailInFaults="true" />
</behavior>
</serviceBehaviors>
</behaviors>
<services>
<service behaviorConfiguration="PressReleaseService.PRBehavior" name="PressReleaseService.PR">
<endpoint address="" binding="wsHttpBinding" contract="PressReleaseService.IPR">
<identity>
<dns value="localhost"/>
</identity>
</endpoint>
</service>
</services>
<bindings>
<wsHttpBinding>
<binding name="WSHttpBinding_IPR" closeTimeout="00:01:00" openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00" bypassProxyOnLocal="false"
transactionFlow="false" hostNameComparisonMode="StrongWildcard"
maxBufferPoolSize="524288" maxReceivedMessageSize="65536" messageEncoding="Text"
textEncoding="utf-8" useDefaultWebProxy="true" allowCookies="false">
<readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
maxBytesPerRead="4096" maxNameTableCharCount="16384" />
<reliableSession ordered="true" inactivityTimeout="00:10:00"
enabled="false" />
<security mode="Message">
<message clientCredentialType="Windows" negotiateServiceCredential="false"
algorithmSuite="Default" establishSecurityContext="true" />
</security>
</binding>
</wsHttpBinding>
</bindings>
</system.serviceModel>
Кроме того, в том же пуле приложений работает другая служба, в ней есть mex, у нее есть привязка wsHttpBinding для основной конечной точки, и в IIS включена ТОЛЬКО проверка подлинности Windows.
Есть какие-либо подсказки?
Ответ №1:
Решение в IIS7:
Следующая строка в файле web.config:
<serviceMetadata httpGetEnabled="true" />
требуется, чтобы к файлу .svc был предоставлен анонимный доступ для http-доступа. Чтобы предоставить это, откройте диспетчер IIS и отключите анонимную проверку подлинности и включите проверку подлинности Windows в верхней части вашего приложения. Затем перейдите на вкладку «Просмотр содержимого» и щелкните правой кнопкой мыши на вашем файле .svc. Выберите «Переключиться на просмотр функций«. Это приведет к добавлению файла .svc в дерево каталогов слева. Оттуда вы можете перейти в раздел «Аутентификация» в IIS и включить анонимную аутентификацию. Теперь у вас есть анонимный доступ к конечной точке mex (я добавил его обратно), но везде есть проверка подлинности Windows. Результатом этого является изменение c:WindowsSystem32inetsrvconfigapplicationHost.config файл, который выглядит следующим образом:
<location path="Default Web Site/PRService_Dev">
<system.webServer>
<security>
<authentication>
<anonymousAuthentication enabled="false" />
<windowsAuthentication enabled="true" />
</authentication>
</security>
</system.webServer>
</location>
<location path="Default Web Site/PRService_Dev/PR.svc">
<system.webServer>
<security>
<authentication>
<anonymousAuthentication enabled="true" />
</authentication>
</security>
</system.webServer>
</location>
Ответ №2:
Вы должны использовать Transport Security для делегирования аутентификации IIS и использовать настройки, которые вы настроили в своем IIS. В данном случае проверка подлинности Windows.
<режим безопасности =»Транспорт»> <транспортный клиентCredentialType =»Windows»/> </security>
Проверка подлинности сообщений с помощью clientCredentialType означает, что вы хотите обеспечить безопасность сообщений с помощью kerberos, поэтому в IIS должна быть включена только анонимность.