WCF-Dienst auf IIS und Client-Webseite auf IIS
https://stackoverflow.com/questions/2158023
-
23-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Hier ist die gewünschte Einstellung:
- Service mit wsHttpBinding ist auf IIS 6 auf Maschine 1 hinter der Firewall.
- Client ist Front-End-Website auf IIS 6 auf Maschine 2 auf einer DMZ.
Wir sind derzeit in der Lage den Client mit Windows-Authentifizierung zu authentifizieren, aber mit Identitätswechsel
<identity impersonate="true" userName="OurCompany\Me" password="Blahblahblah" />
, da die Website den „ASPNET“ als Benutzername verwenden würde, die nicht in der Domäne ist.
Wir wollen nun von dieser Methode wegzubewegen, wegen Sicherheitsproblem; wir wollen nicht, diese Art von Informationen in der DMZ belichten.
-
Gibt es eine Möglichkeit korrekt authentifiziert werden, ohne die impersonate auf dem Client Config?
-
Wenn sie so geändert, dass wir verwenden Zertifikatauthentifizierung wäre es Auswirkungen auf Service Operationen, erfordern impersonations (benötigt Verkörperungen für den Dateizugriff auf das Netzwerk zum Beispiel)?
Dank.
Lösung
Dieses Problem wurde behoben, und ich denke, es konstruktiv sein würde, die Lösungen zu teilen.
In Bezug auf meiner ursprünglichen Frage - ob es in der Lage ist, den Identitätswechsel zu tun, ohne es explizit in der Config oder im Front-End-Code einstellen. Wie durch die oben erwähnt wurde, funktioniert die App Pool Methode funktioniert, aber nur dann, wenn sowohl der Client und Server auf der gleichen Domäne.
Da die Web-Site-Client in der DMZ angeordnet ist hat keinen Zugriff auf das lokale Netzwerk überhaupt, was bedeutet, wir können keine Netzwerk-Benutzer verkörpern (dies ein Fehler in meiner ursprünglichen Frage, die Identitätswechsel funktioniert sagen - es war eigentlich nicht in Betrieb).
So ist der einzige Weg zu gehen Zertifikat wurde mit. Da dieser interne Kommunikation ist, habe ich ein Prüfzertifikat auf jedem der Server / Client-Seiten mit dem makecert erzeugt. Mit Peer Vertrauen Zertifikat Authentifizierungen, ich bin in der Lage, die Kommunikation zu bekommen arbeitet zwischen dem Client und dem Server. Dadurch wird sichergestellt, dass keine Fenster / Netzwerk-Benutzerkontoinformationen werden in der DMZ-Zone dargestellt.
