WCF - Почему netTCPBinding отлично работает с аутентификацией Kerberos без какой-либо настройки SPN?

В одной из наших сетей мы используем netTCPBinding. Служба WCF размещена в службе Windows, которая работает как учетная запись домена.

В средстве просмотра событий я вижу, что моя служба WCF использует проверку подлинности Kerberos. Все работает без проблем "из коробки" с простой конфигурацией по умолчанию без элемента <identity> в файле конфигурации и без какой-либо настройки SPN для машины, например:

setspn -a WcfServiceName//Server domaonAccount

Но из множества онлайн-ссылок я пришел к выводу, что настройка SPN необходима. Непонятно, почему в моем случае он работает без этих настроек?

Жду объяснений от экспертов WCF-Security.


security wcf kerberos nettcpbinding spn
person ablei2000    schedule 05.02.2010    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Согласно руководству по безопасности WCF: netTcpBinding: указывает безопасную, надежную, оптимизированную привязку, подходящую для межмашинного взаимодействия. По умолчанию он создает стек связи во время выполнения с транспортной безопасностью и проверкой подлинности Windows в качестве параметров безопасности по умолчанию. Он использует протокол TCP для доставки сообщений и двоичного кодирования сообщений.

По сути, это безопасно по умолчанию, вызывающие должны предоставить кредиты Windows для аутентификации.

person Ta01    schedule 05.02.2010
comment
Спасибо за ответ. К сожалению, я читал много ссылок, в которых говорилось об обратном. Возьмем, к примеру, следующее: mastermynd-code .blogspot.com / 2009/06 /, в котором говорится ... Чтобы использовать WCF NetTcpBinding со службой Windows, необходимо создать SPN. - person ablei2000; 06.02.2010
comment
Вы говорите, что по умолчанию это ... безопасно, и я это вижу. Но система по-прежнему выполняет вызовы Kerberos, несмотря на безопасный транспорт по умолчанию. Причина, по которой я спрашиваю, заключается в том, что в нашей внутренней сети он работает без настройки SPN. Но то же приложение с такой же конфигурацией не работает в сети нашего клиента при попытке выполнить аутентификацию Kerboros. Хотя он работает с Ntlm + basicHttpbinding ... но мы хотели бы остаться с tcp. - person ablei2000; 06.02.2010