Có cách nào để có được thông tin đăng nhập của Kerberos hai lần không? Tại sao không?

Cả cuộc đời kỳ lạ của tôi, tôi đã xử lý giới hạn này của Tên miền Windows

1. Đăng nhập - bảng điều khiển
2. Tích hợp xác thực vào một cái gì đó (thường là ứng dụng web)
3. Thông tin đăng nhập của tôi không thể chuyển sang máy chủ khác (ví dụ: cơ sở dữ liệu hoặc hệ thống tệp). Họ phải tin tưởng máy 2.

Có một cấu hình thay đổi hành vi này? Trong nhiều trường hợp, 3 bước nhảy sẽ thuận tiện đáng kinh ngạc.

Lý do cụ thể mà thông tin đăng nhập không nên ủy nhiệm hai lần (client-> server-> server) là gì?

Hoàn toàn - đây là phái đoàn Kerberos và nó cực kỳ mạnh mẽ.

Bạn cần đọc một vài bài viết của TechNet trước:

• Xác thực Kerberos trong Windows Server 2003
• Chuyển đổi giao thức Kerberos và Phái đoàn ràng buộc

Và sau đó đọc các bài đăng trên blog fanstastic của Ken Schaefer trên Kerberos:

• IIS (Dịch vụ thông tin Internet) và Câu hỏi thường gặp về Kerberos

Nhưng về cơ bản, khi SPN của bạn được thiết lập và bạn biết Kerberos đang hoạt động, bạn đi đến Đối tượng máy tính trong Active Directory và chọn nút radio "Tin tưởng máy tính này để ủy quyền" trên tab Phân quyền.

Bài viết của Ken về phái đoàn đơn giản sẽ bao gồm mọi thứ bạn cần.

BTW: Bạn đã rất gần với tìm kiếm đúng: "Xác thực Double Hop" sẽ dẫn bạn đến bài viết này từ blog của nhóm dịch vụ thư mục : Tìm hiểu về Kerberos Double Hop

Mặc dù tôi không biết câu trả lời cho Windows (là một người Linux / UNIX), nhưng điều bạn cần đảm bảo trong giới hạn là bạn yêu cầu một vé có thể chuyển tiếp.