servizio WCF ospitato su IIS e il sito del cliente su IIS
https://stackoverflow.com/questions/2158023
-
23-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ecco la configurazione desiderata:
- Servizio con wsHttpBinding è su IIS 6 su macchina 1 dietro il firewall.
- Client è il sito web front-end su IIS 6 su macchina 2 su una DMZ.
Al momento siamo in grado di autenticare il client utilizzando l'autenticazione di Windows, ma con la rappresentazione
<identity impersonate="true" userName="OurCompany\Me" password="Blahblahblah" />
dal momento che il sito avrebbe utilizzato il "ASPNET" come username, che non è nel dominio.
Ora vogliamo abbandonare questo metodo, a causa del problema di sicurezza; noi non vogliamo esporre questo tipo di informazioni sulla DMZ.
-
C'è un modo per ottenere l'autenticazione correttamente senza utilizzare l'impersonate sul client config?
-
Se abbiamo cambiato in modo che usiamo l'autenticazione dei certificati, è vero influenzare le operazioni di servizio che richiedere imitazioni (necessaria imitazioni per l'accesso ai file su la rete, per esempio)?
Grazie.
Soluzione
Questo è stato risolto ora, e credo che sarebbe costruttivo per condividere le soluzioni.
In termini di mia domanda iniziale - se è in grado di fare la rappresentazione senza impostare esplicitamente nella configurazione o nel codice front-end. Come già detto da quanto sopra, il metodo App Pool funziona, ma solo quando sia il client e il server sono sullo stesso dominio.
Poiché il client sito essendo situato nel DMZ non ha accesso della rete locale a tutti, il che significa che siamo in grado di impersonare qualsiasi utente della rete (questo è un difetto nella mia domanda iniziale, dicendo che la rappresentazione funziona - era in realtà non funziona).
Quindi l'unico modo per andare era di usare i certificati. Poiché si tratta di comunicazioni interne, ho generato un certificato di prova su ciascuno dei lati del server / client con il makecert. Utilizzando autenticazioni certificato pari fiducia, io sono in grado di ottenere la comunicazione di lavoro tra il client e il server. Questo farà sì che nessuna informazione conto / utente di rete di Windows è presentato nella zona DMZ.
