Existe-t-il un moyen d'obtenir deux fois les informations d'identification Kerberos? Pourquoi pas?

Toute ma vie de nerd, j'ai fait face à cette limitation des domaines Windows

1. Connexion - console
2. Authentification intégrée à quelque chose (généralement une application Web)
3. Mes informations d'identification ne peuvent pas être déplacées vers un autre serveur (par exemple, une base de données ou un système de fichiers). Ils doivent faire confiance à la machine 2.

Existe-t-il une configuration qui modifie ce comportement? Dans de nombreux cas, 3 sauts seraient incroyablement pratiques.

Quelle est la raison spécifique pour laquelle les informations d'identification ne doivent pas déléguer deux fois (client-> serveur-> serveur)?

Absolument - c'est la délégation Kerberos, et c'est extrêmement puissant.

Vous devez d'abord lire quelques articles TechNet:

• Authentification Kerberos dans Windows Server 2003
• Transition du protocole Kerberos et délégation contrainte

Et puis lisez les articles de blog de Ken Schaefer sur Kerberos:

• IIS (Internet Information Services) et Kerberos FAQ

Mais en gros, une fois que vos SPN sont configurés et que vous savez que Kerberos fonctionne, vous accédez à l'objet ordinateur dans Active Directory et sélectionnez le bouton radio "Faire confiance à cet ordinateur pour la délégation" dans l'onglet Délégation.

L'article de Ken sur la délégation simple devrait couvrir tout ce dont vous avez besoin.

BTW: Vous étiez si près de la bonne recherche: "Double Hop Authentication" vous mènerait directement à cet article du blog de l'équipe Ask the Directory Services : Understanding Kerberos Double Hop

Bien que je ne connaisse pas la réponse pour Windows (étant une personne Linux / UNIX), ce que vous devez vous assurer sous le capot, c'est que vous demandez un ticket transférable.