Existe uma maneira de obter credenciais do Kerberos para delegar duas vezes? Por que não?

8

Toda a minha vida nerd, lidei com esta limitação dos domínios do Windows

  1. Login - console
  2. Autenticação integrada para algo (geralmente aplicativo da web)
  3. Minhas credenciais não podem ser movidas para outro servidor (por exemplo, banco de dados ou sistema de arquivos). Eles têm que confiar na máquina 2.

Existe uma configuração que altera esse comportamento? Em muitos casos, 3 saltos seriam incrivelmente convenientes.

Qual é o motivo específico pelo qual as credenciais não devem delegar duas vezes (cliente-> servidor- > servidor)?

    
por Precipitous 31.05.2009 / 21:56

2 respostas

8

Absolutamente - essa é a delegação do Kerberos e é extremamente poderosa.

Você precisa ler alguns artigos do TechNet primeiro:

Depois, leia as postagens de blog fanstastic de Ken Schaefer sobre o Kerberos:

Mas, basicamente, assim que seus SPNs são configurados e você sabe que o Kerberos está funcionando, vá para o Objeto de Computador no Active Directory e selecione o botão de opção "Confiar neste computador para delegação" na guia Delegação.

OartigodeKensobrea delegação simples deve cobrir tudo o que você necessidade.

BTW: você estava tão perto da pesquisa certa: a "Autenticação Double Hop" levaria você diretamente a este artigo da Pergunte ao blog da equipe de serviços de diretório : Compreendendo o duplo Kerberos Hop

    
por 31.05.2009 / 23:20
1

Embora eu não saiba a resposta para o Windows (sendo uma pessoa Linux / UNIX), o que você precisa garantir é que você solicite um ticket para a frente.

    
por 31.05.2009 / 23:09