【发布时间】:2012-04-30 10:24:53
【问题描述】:
我有一个 .NET WCF 客户端与 Java 服务器组件通信。服务器端身份验证通过配置为反向代理的中间 Apache 服务器完成。
.NET 客户端的配置如下:
<basicHttpBinding>
<binding name="AdministrationServiceImplServiceSoapBinding">
<security mode="TransportCredentialOnly">
<transport clientCredentialType="Windows" proxyCredentialType="Windows" />
</security>
</binding>
</basicHttpBinding>
Apache 配置为需要 Kerveros 身份验证:
<LocationMatch "^...$">
AuthType Kerberos
Krb5Keytab ...
KrbServiceName HTTP/hostname
KrbMethodNegotiate on
KrbMethodK5Passwd off
Require valid-user
Satisfy All
</LocationMatch>
如果我在 Windows 7 上启动我的应用程序,一切都会按预期运行:.NET 客户端使用 Kerberos,Apache 对客户端进行身份验证,我可以使用 Spring 安全性访问客户端凭据。
如果我在 Windows XP 上启动我的应用程序,我会收到一条 HTTP 401 错误消息。使用WireShark观看网络通信后,我看到了这种情况:
(1) 未经身份验证访问Web服务的初始尝试
POST <path> HTTP/1.1
Content-Type: text/xml; charset=utf-8
SOAPAction: ""
Host: <host>
Content-Length: 374
Expect: 100-continue
Connection: Keep-Alive
(2) 100 来自服务器的继续回复
HTTP/1.1 100 Continue
(3) 来自客户端的 SOAP 请求(仍未经身份验证)
(4) 服务器给出 401 响应
HTTP/1.1 401 Authorization Required
Server: Apache
WWW-Authenticate: Negotiate
(5) 客户端尝试使用 NTLM 进行身份验证
POST <path> HTTP/1.1
Content-Type: text/xml; charset=utf-8
SOAPAction: ""
Authorization: Negotiate TlRMTVNTUAABAAAAt4IY4gAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw==
Host: <host>
Content-Length: 0
(6) 来自服务器的 401 消息(我们这里不说 NTLM!)
HTTP/1.1 401 Authorization Required
(7) 客户放弃
当我从客户端解码 Base64 协商标头时,它以 NTLMSSP\x00 开头,表示客户端想要进行 NTLM 身份验证,尽管配置文件指定了“Windows”(又名 Kerberos)进行身份验证。
我可以在客户端做些什么来说服 .NET 使用 Kerberos?如果不是,我的 Apache 应该返回什么以便客户端知道它应该使用 Kerberos?
【问题讨论】:
-
我找到了一个相关的 SO 问题,但那里的答案没有帮助:stackoverflow.com/questions/2319001/…