有没有办法让 Kerberos 凭据委托两次?为什么不?
Pre*_*ous 8 active-directory kerberos delegation
在我的书呆子生活中,我一直在处理 Windows 域的这种限制
- 登录 - 控制台
- 对某些东西的集成身份验证(通常是 Web 应用程序)
- 我的凭据无法移动到另一台服务器(例如数据库或文件系统)。他们必须信任机器 2。
是否有更改此行为的配置?在许多情况下,3 跳会非常方便。
凭据不应委托两次(客户端->服务器->服务器)的具体原因是什么?
绝对 - 这是 Kerberos 委托,它非常强大。
您需要先阅读几篇 TechNet 文章:
然后阅读Ken Schaefer关于 Kerberos的精彩博文:
但基本上,一旦您的 SPN 设置好并且您知道 Kerberos 正在工作,您就可以转到 Active Directory 中的计算机对象并选择“委托”选项卡上的“信任此计算机以进行委托”单选按钮。
(来源:s-msft.com)
Ken 关于简单委托的文章应该涵盖了您需要的一切。
顺便说一句:您非常接近正确的搜索:“双跳身份验证”会引导您直接阅读来自询问目录服务团队博客的这篇文章:了解 Kerberos 双跳
| 归档时间: |
|
| 查看次数: |
2606 次 |
| 最近记录: |