le service WCF hébergé sur IIS et le site Web du client sur IIS
https://stackoverflow.com/questions/2158023
-
23-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Voici la configuration souhaitée:
- Service avec wsHttpBinding est sur IIS 6 sur la machine 1 derrière le pare-feu.
- Client est le site Web frontal sur IIS 6 sur la machine 2 sur une zone démilitarisée.
Nous sommes actuellement en mesure d'authentifier le client en utilisant l'authentification Windows, mais avec usurpation d'identité
<identity impersonate="true" userName="OurCompany\Me" password="Blahblahblah" />
depuis le site utilisera « ASPNET » comme nom d'utilisateur, ce qui est dans le domaine.
Nous voulons maintenant se éloigner de cette méthode, en raison de problèmes de sécurité; nous ne voulons pas exposer ce genre d'info sur la zone démilitarisée.
-
Y at-il moyen de s'authentifier correctement sans utiliser Emprunter l'identité du client config?
-
Si nous avons changé de sorte que nous utilisons l'authentification par certificat, serait-il incidence sur les activités de service exiger personnifications (nécessaire personnifications pour l'accès aux fichiers sur le réseau par exemple)?
merci.
La solution
Cela a été résolu maintenant, et je pense que ce serait constructif de partager les solutions.
En ce qui concerne ma première question - si elle est en mesure de faire l'usurpation d'identité sans définir explicitement dans la configuration ou dans le code frontal. Comme l'a mentionné ci-dessus, la méthode piscine App fonctionne, mais seulement lorsque le client et le serveur sont sur le même domaine.
Depuis le client du site Web étant situé dans la zone démilitarisée n'a pas accès du réseau local du tout, ce qui signifie que nous ne parvenons pas à usurper l'identité d'un utilisateur de réseau (ce qui est une faille dans ma première question, en disant l'usurpation d'identité fonctionne - il était en fait ne fonctionne pas).
La seule façon d'aller a l'utilisation du certificat. Étant donné que cette communication interne est, j'ai produit un certificat de test sur chacun des côtés serveur / client avec le makecert. L'utilisation authentifications de certificats de confiance par les pairs, je suis en mesure d'obtenir la communication de travail entre le client et le serveur. Cela garantira que aucune information de compte d'utilisateur Windows / réseau est présenté dans la zone DMZ.
