Kerberos資格情報を取得して2回委任する方法はありますか?何故なの?
私のすべての神経質な人生、私はWindowsドメインのこの制限に対処してきました
- ログイン-コンソール
- 何か(通常はWebアプリ)への統合認証
- 資格情報を別のサーバー(データベースやファイルシステムなど)に移動できません。彼らはマシン2を信頼する必要があります。
この動作を変更する構成はありますか?多くの場合、3ホップは驚くほど便利です。
資格情報が2回委任されるべきではない具体的な理由は何ですか(クライアント->サーバー->サーバー)?
絶対に-これはKerberosの委任であり、非常に強力です。
最初にTechNetの記事をいくつか読む必要があります。
そして、読んでください Ken Schaefer's Kerberosに関する素晴らしいブログ投稿:
ただし、基本的に、SPNがセットアップされ、Kerberosが機能していることがわかったら、Active Directoryのコンピューターオブジェクトに移動し、[委任]タブの[このコンピューターを委任に信頼する]ラジオボタンを選択します。
単純な委任 に関するKenの記事は、必要なすべてをカバーする必要があります。
ところで:あなたは正しい検索にとても近かった:「ダブルホップ認証」はあなたを ディレクトリサービスに尋ねる チームブログからこの記事にあなたを正しく導くだろう: Kerberosダブルホップを理解する
Windows(Linux/UNIXの人)の答えはわかりませんが、内部で確認する必要があるのは、転送可能なチケットを要求することです。