C'è un modo per ottenere due volte le credenziali Kerberos per delegare? Perchè no?


8

Per tutta la mia vita da secchione, ho affrontato questa limitazione dei domini Windows

  1. Login - console
  2. Autorizzazione integrata a qualcosa (in genere app Web)
  3. Le mie credenziali non possono essere spostate su un altro server (ad es. Database o file system). Devono fidarsi della macchina 2.

Esiste una configurazione che modifica questo comportamento? In molti casi, 3 luppoli sarebbero incredibilmente convenienti.

Qual è il motivo specifico per cui le credenziali non devono essere delegate due volte (client-> server-> server)?

Risposte:


8

Assolutamente: questa è la delegazione Kerberos ed è estremamente potente.

Devi prima leggere un paio di articoli TechNet:

E poi leggi i post sul blog fanstastic di Ken Schaefer su Kerberos:

Ma fondamentalmente, una volta che i tuoi SPN sono stati configurati e sai che Kerberos funziona, vai all'oggetto Computer in Active Directory e seleziona il pulsante di opzione "Fidati del computer per la delega" nella scheda Delega.

Da: chiedere al team dei servizi di directory

L'articolo di Ken sulla semplice delega dovrebbe coprire tutto ciò di cui hai bisogno.

A proposito: eri così vicino alla ricerca giusta: "Double Hop Authentication" ti porterebbe direttamente a questo articolo dal blog del team Ask the Directory Services : Comprendere Kerberos Double Hop


Fantastico - grazie! Ho il sospetto che la ragione per cui non ho visto questo risolto è che i ragazzi del codice non parlano con i ragazzi dell'amministratore di sistema - e la maggior parte delle app funziona solo con il doppio hop.
Precipito

1

Anche se non conosco la risposta per Windows (essendo una persona Linux / UNIX), quello che devi assicurarti è che richiedi un ticket trasferibile.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.