Gibt es eine Möglichkeit, Kerberos-Anmeldeinformationen zweimal zu delegieren? Warum nicht?

Mein ganzes nerdiges Leben lang habe ich mich mit dieser Einschränkung von Windows-Domänen befasst

1. Login - Konsole
2. Integrierte Authentifizierung für etwas (normalerweise Web-App)
3. Meine Anmeldeinformationen können nicht auf einen anderen Server (z. B. Datenbank oder Dateisystem) verschoben werden. Sie müssen Maschine 2 vertrauen.

Gibt es eine Konfiguration, die dieses Verhalten ändert? In vielen Fällen wären 3 Hopfen erstaunlich praktisch.

Was ist der spezifische Grund, warum Anmeldeinformationen nicht zweimal delegiert werden sollten (Client-> Server-> Server)?

Absolut - dies ist eine Kerberos-Delegation und äußerst leistungsfähig.

Sie müssen zuerst einige TechNet-Artikel lesen:

• Kerberos-Authentifizierung in Windows Server 2003
• Kerberos-Protokollübergang und eingeschränkte Delegierung

Und dann lesen Sie Ken Schaefers fantastische Blog-Beiträge zu Kerberos:

• Häufig gestellte Fragen zu IIS (Internet Information Services) und Kerberos

Sobald Ihre SPNs eingerichtet sind und Sie wissen, dass Kerberos funktioniert, rufen Sie im Active Directory das Computerobjekt auf und aktivieren das Optionsfeld "Diesem Computer für die Delegierung vertrauen" auf der Registerkarte "Delegierung".

Kens Artikel über einfache Delegation sollte alles abdecken, was Sie brauchen.

Übrigens: Sie waren der richtigen Suche so nahe: "Double Hop-Authentifizierung" würde Sie direkt zu diesem Artikel aus dem Blog des Ask the Directory Services- Teams führen: Grundlegendes zu Kerberos Double Hop

Obwohl ich die Antwort für Windows (als Linux / UNIX-Person) nicht kenne, müssen Sie unter der Haube sicherstellen, dass Sie ein weiterleitbares Ticket anfordern.