C'è un modo per ottenere due volte le credenziali Kerberos per delegare? Perchè no?

Per tutta la mia vita da secchione, ho affrontato questa limitazione dei domini Windows

1. Login - console
2. Autorizzazione integrata a qualcosa (in genere app Web)
3. Le mie credenziali non possono essere spostate su un altro server (ad es. Database o file system). Devono fidarsi della macchina 2.

Esiste una configurazione che modifica questo comportamento? In molti casi, 3 luppoli sarebbero incredibilmente convenienti.

Qual è il motivo specifico per cui le credenziali non devono essere delegate due volte (client-> server-> server)?

Assolutamente: questa è la delegazione Kerberos ed è estremamente potente.

Devi prima leggere un paio di articoli TechNet:

• Autenticazione Kerberos in Windows Server 2003
• Transizione del protocollo Kerberos e delega vincolata

E poi leggi i post sul blog fanstastic di Ken Schaefer su Kerberos:

• Domande frequenti su IIS (Internet Information Services) e Kerberos

Ma fondamentalmente, una volta che i tuoi SPN sono stati configurati e sai che Kerberos funziona, vai all'oggetto Computer in Active Directory e seleziona il pulsante di opzione "Fidati del computer per la delega" nella scheda Delega.

L'articolo di Ken sulla semplice delega dovrebbe coprire tutto ciò di cui hai bisogno.

A proposito: eri così vicino alla ricerca giusta: "Double Hop Authentication" ti porterebbe direttamente a questo articolo dal blog del team Ask the Directory Services : Comprendere Kerberos Double Hop

Anche se non conosco la risposta per Windows (essendo una persona Linux / UNIX), quello che devi assicurarti è che richiedi un ticket trasferibile.