Gibt es eine Möglichkeit, Kerberos-Anmeldeinformationen zweimal zu delegieren? Warum nicht?

8

Mein ganzes nerdiges Leben lang habe ich mich mit dieser Einschränkung von Windows-Domänen befasst

  1. Login - Konsole
  2. Integrierte Authentifizierung für etwas (normalerweise Web-App)
  3. Meine Anmeldeinformationen können nicht auf einen anderen Server (z. B. Datenbank oder Dateisystem) verschoben werden. Sie müssen Maschine 2 vertrauen.

Gibt es eine Konfiguration, die dieses Verhalten ändert? In vielen Fällen wären 3 Hopfen erstaunlich praktisch.

Was ist der spezifische Grund, warum Anmeldeinformationen nicht zweimal delegiert werden sollten (Client-> Server-> Server)?

Niederschlagend
quelle

Antworten:

8

Absolut - dies ist eine Kerberos-Delegation und äußerst leistungsfähig.

Sie müssen zuerst einige TechNet-Artikel lesen:

Und dann lesen Sie Ken Schaefers fantastische Blog-Beiträge zu Kerberos:

Sobald Ihre SPNs eingerichtet sind und Sie wissen, dass Kerberos funktioniert, rufen Sie im Active Directory das Computerobjekt auf und aktivieren das Optionsfeld "Diesem Computer für die Delegierung vertrauen" auf der Registerkarte "Delegierung".

Von: Fragen Sie das Directory Services-Team

Kens Artikel über einfache Delegation sollte alles abdecken, was Sie brauchen.

Übrigens: Sie waren der richtigen Suche so nahe: "Double Hop-Authentifizierung" würde Sie direkt zu diesem Artikel aus dem Blog des Ask the Directory Services- Teams führen: Grundlegendes zu Kerberos Double Hop

Christopher_G_Lewis
quelle
Fantastisch - danke! Ich vermute, der Grund, warum ich dies nicht allgemein gelöst habe, ist, dass die Code-Leute nicht mit den Sysadmin-Leuten sprechen - und die meisten Apps arbeiten nur mit Double Hops.
Precipitous
1

Obwohl ich die Antwort für Windows (als Linux / UNIX-Person) nicht kenne, müssen Sie unter der Haube sicherstellen, dass Sie ein weiterleitbares Ticket anfordern.


quelle