Apakah ada cara untuk mendapatkan kredensial Kerberos untuk didelegasikan dua kali? Kenapa tidak?

8

Sepanjang hidupku yang aneh, aku sudah berurusan dengan batasan Windows Domains ini

  1. Login - konsol
  2. Auth terintegrasi ke sesuatu (biasanya aplikasi web)
  3. Kredensial saya tidak dapat pindah ke server lain (mis. Database atau sistem file). Mereka harus percaya mesin 2.

Apakah ada konfigurasi yang mengubah perilaku ini? Dalam banyak kasus, 3 hop akan sangat nyaman.

Apa alasan khusus yang tidak boleh didelegasikan kredensial dua kali (client-> server-> server)?

Terjal
sumber

Jawaban:

8

Tentu saja - ini adalah delegasi Kerberos, dan ini sangat kuat.

Anda perlu membaca beberapa artikel TechNet terlebih dahulu:

Dan kemudian membaca posting blog fanstastic Ken Schaefer di Kerberos:

Tetapi pada dasarnya, begitu SPN Anda siap dan Anda tahu Kerberos berfungsi, Anda pergi ke Objek Komputer di Direktori Aktif dan pilih tombol radio "Percayai komputer ini untuk pendelegasian" pada tab Delegasi.

Dari: Tanyakan kepada Tim Layanan Direktori

Artikel Ken tentang delegasi sederhana harus mencakup semua yang Anda butuhkan.

BTW: Anda sangat dekat dengan pencarian yang tepat: "Otentikasi Double Hop" akan mengarahkan Anda langsung ke artikel ini dari blog Ask the Directory Services Team: Memahami Kerberos Double Hop

Christopher_G_Lewis
sumber
Fantastis - terima kasih! Saya curiga alasan mengapa saya belum pernah melihat ini terpecahkan adalah karena orang-orang kode tidak berbicara dengan orang-orang sysadmin - dan sebagian besar aplikasi hanya bekerja di sekitar hop ganda.
Precipitous
1

Meskipun saya tidak tahu jawaban untuk Windows (menjadi orang Linux / UNIX), apa yang perlu Anda pastikan di balik tenda adalah bahwa Anda meminta tiket yang dapat diteruskan.


sumber