Apakah ada cara untuk mendapatkan kredensial Kerberos untuk didelegasikan dua kali? Kenapa tidak?

Sepanjang hidupku yang aneh, aku sudah berurusan dengan batasan Windows Domains ini

1. Login - konsol
2. Auth terintegrasi ke sesuatu (biasanya aplikasi web)
3. Kredensial saya tidak dapat pindah ke server lain (mis. Database atau sistem file). Mereka harus percaya mesin 2.

Apakah ada konfigurasi yang mengubah perilaku ini? Dalam banyak kasus, 3 hop akan sangat nyaman.

Apa alasan khusus yang tidak boleh didelegasikan kredensial dua kali (client-> server-> server)?

Tentu saja - ini adalah delegasi Kerberos, dan ini sangat kuat.

Anda perlu membaca beberapa artikel TechNet terlebih dahulu:

• Otentikasi Kerberos di Windows Server 2003
• Transisi Protokol Kerberos dan Delegasi Terbatas

Dan kemudian membaca posting blog fanstastic Ken Schaefer di Kerberos:

• IIS (Layanan Informasi Internet) dan FAQ Kerberos

Tetapi pada dasarnya, begitu SPN Anda siap dan Anda tahu Kerberos berfungsi, Anda pergi ke Objek Komputer di Direktori Aktif dan pilih tombol radio "Percayai komputer ini untuk pendelegasian" pada tab Delegasi.

Artikel Ken tentang delegasi sederhana harus mencakup semua yang Anda butuhkan.

BTW: Anda sangat dekat dengan pencarian yang tepat: "Otentikasi Double Hop" akan mengarahkan Anda langsung ke artikel ini dari blog Ask the Directory Services Team: Memahami Kerberos Double Hop

Meskipun saya tidak tahu jawaban untuk Windows (menjadi orang Linux / UNIX), apa yang perlu Anda pastikan di balik tenda adalah bahwa Anda meminta tiket yang dapat diteruskan.