¿Hay alguna manera de obtener las credenciales de Kerberos para delegar dos veces? Por qué no?

8

Toda mi vida nerd, he tratado con esta limitación de dominios de Windows

  1. Inicio de sesión - consola
  2. Autenticación integrada a algo (generalmente aplicación web)
  3. Mis credenciales no se pueden mover a otro servidor (por ejemplo, base de datos o sistema de archivos). Tienen que confiar en la máquina 2.

¿Existe una configuración que cambie este comportamiento? En muchos casos, 3 saltos serían increíblemente convenientes.

¿Cuál es la razón específica por la cual las credenciales no deben delegar dos veces (cliente-> servidor-> servidor)?

Precipitado
fuente

Respuestas:

8

Absolutamente, esta es la delegación Kerberos, y es extremadamente poderosa.

Primero debe leer un par de artículos de TechNet:

Y luego lea las publicaciones de blog de Ken Schaefer sobre Kerberos:

Pero básicamente, una vez que sus SPN están configurados y sabe que Kerberos está funcionando, vaya al Objeto de la computadora en el Directorio Activo y seleccione el botón de opción "Confiar en esta computadora para la delegación" en la pestaña Delegación.

De: Pregunte al equipo de servicios de directorio

El artículo de Ken sobre delegación simple debería cubrir todo lo que necesita.

Por cierto: estaba tan cerca de la búsqueda correcta: "Autenticación de doble salto" lo llevaría directamente a este artículo del blog Pregunte al equipo de servicios de directorio : Comprender el doble salto de Kerberos

Christopher_G_Lewis
fuente
Fantástico, gracias! Sospecho que la razón por la que comúnmente no he visto esto resuelto es que los chicos del código no hablan con los chicos del administrador de sistemas, y la mayoría de las aplicaciones simplemente funcionan con saltos dobles.
Precipitoso
1

Si bien no sé la respuesta para Windows (al ser una persona Linux / UNIX), lo que debe asegurarse es solicitar un boleto reenviable.


fuente