Existe-t-il un moyen d'obtenir deux fois les informations d'identification Kerberos? Pourquoi pas?

8

Toute ma vie de nerd, j'ai fait face à cette limitation des domaines Windows

  1. Connexion - console
  2. Authentification intégrée à quelque chose (généralement une application Web)
  3. Mes informations d'identification ne peuvent pas être déplacées vers un autre serveur (par exemple, une base de données ou un système de fichiers). Ils doivent faire confiance à la machine 2.

Existe-t-il une configuration qui modifie ce comportement? Dans de nombreux cas, 3 sauts seraient incroyablement pratiques.

Quelle est la raison spécifique pour laquelle les informations d'identification ne doivent pas déléguer deux fois (client-> serveur-> serveur)?

Abrupt
la source

Réponses:

8

Absolument - c'est la délégation Kerberos, et c'est extrêmement puissant.

Vous devez d'abord lire quelques articles TechNet:

Et puis lisez les articles de blog de Ken Schaefer sur Kerberos:

Mais en gros, une fois que vos SPN sont configurés et que vous savez que Kerberos fonctionne, vous accédez à l'objet ordinateur dans Active Directory et sélectionnez le bouton radio "Faire confiance à cet ordinateur pour la délégation" dans l'onglet Délégation.

De: Demandez à l'équipe des services d'annuaire

L'article de Ken sur la délégation simple devrait couvrir tout ce dont vous avez besoin.

BTW: Vous étiez si près de la bonne recherche: "Double Hop Authentication" vous mènerait directement à cet article du blog de l'équipe Ask the Directory Services : Understanding Kerberos Double Hop

Christopher_G_Lewis
la source
Fantastique - merci! Je soupçonne que la raison pour laquelle je n'ai pas souvent vu ce problème résolu est que les gars du code ne parlent pas aux gars de l'administrateur système - et la plupart des applications fonctionnent simplement autour de doubles sauts.
Précipite du
1

Bien que je ne connaisse pas la réponse pour Windows (étant une personne Linux / UNIX), ce que vous devez vous assurer sous le capot, c'est que vous demandez un ticket transférable.


la source