Active-Directory

有沒有辦法讓 Kerberos 憑證委託兩次?為什麼不?

  • December 28, 2020

在我的書呆子生活中,我一直在處理 Windows 域的這種限制

  1. 登錄 - 控制台
  2. 集成身份驗證(通常是網路應用程序)
  3. 我的憑據不能移動到另一台伺服器(例如數據庫或文件系統)。他們必須信任機器 2。

是否有改變這種行為的配置?在許多情況下,3 跳會非常方便。

憑據不應委託兩次(客戶端->伺服器->伺服器)的具體原因是什麼?

絕對 - 這是 Kerberos 委託,它非常強大。

您需要先閱讀幾篇 TechNet 文章:

然後閱讀Ken Schaefer關於 Kerberos 的精彩部落格文章:

但基本上,一旦您的 SPN 設置好並且您知道 Kerberos 正在工作,您可以轉到 Active Directory 中的電腦對象,然後在委派選項卡上選擇“信任此電腦以進行委派”單選按鈕。

來自:詢問目錄服務團隊

(來源:s-msft.com

Ken 關於簡單委託的文章應該涵蓋您需要的所有內容。

順便說一句:您非常接近正確的搜尋:“雙跳身份驗證”將引導您訪問來自詢問目錄服務團隊部落格的這篇文​​章:了解 Kerberos 雙跳

引用自:https://serverfault.com/questions/16364