Eu já publiquei esta questão no SO , mas a natureza dele é entre programação e configuração do servidor, então eu vou postar aqui também.
Estou tentando escrever um aplicativo de prova de conceito que executa a delegação do Kerberos. Eu escrevi todo o código e parece estar funcionando (estou autenticando bem), mas o contexto de segurança resultante não tem o sinalizador ISC_REQ_DELEGATE definido.
Então, estou pensando que talvez um dos terminais (cliente ou servidor) seja proibido de delegar. No entanto, não estou autenticando em um SPN. Apenas um usuário de domínio contra outro usuário de domínio. Como o SPN para InitializeSecurityContext() estou passando "[email protected]" (que é a conta de usuário sob a qual o aplicativo do servidor está sendo executado). Pelo que entendi, os usuários do domínio têm delegação ativada por padrão. De qualquer forma, pedi ao administrador para verificar e a caixa de seleção "a conta é confidencial e não pode ser delegada" está desativada.
Sei que, se o meu servidor estava sendo executado como um SERVIÇO DE REDE e usei um SPN para me conectar a ele, precisaria que a conta do computador no AD fosse marcada com a caixa de seleção "Confiar no computador para delegação" (desativada por padrão) ), mas ... não é esse o caso, certo? Ou é?
Além disso - quando a caixa de seleção na conta do computador está configurada, as alterações ocorrem imediatamente ou devo reinicializar o PC do servidor ou esperar um pouco?
Na minha experiência de trabalho com aplicativos e delegação Kerberos, a conta de serviço (executando o aplicativo) exige um SPN configurado para o serviço do qual você deseja executar a delegação e deve ser definido como confiável para delegação (todos os SPNs ou apenas específicos aqueles, também conhecidos como delegação restrita).