在我的整个书呆子生涯中,我一直在处理 Windows 域的这一限制
- 登录-控制台
- 将身份验证集成到某个东西(通常是 Web 应用程序)
- 我的凭据不能移至另一台服务器(例如数据库或文件系统)。它们必须信任机器 2。
是否有配置可以改变此行为?在很多情况下,3 跳会非常方便。
凭证不应该委托两次(客户端->服务器->服务器)的具体原因是什么?
答案1
绝对如此 – 这是 Kerberos 委派,而且功能极其强大。
您需要先阅读几篇 TechNet 文章:
然后阅读肯·谢弗的有关 Kerberos 的精彩博客文章:
但基本上,一旦您的 SPN 设置完毕并且您知道 Kerberos 正在运行,您就可以转到 Active Directory 中的计算机对象并在委派选项卡上选择“信任此计算机进行委派”单选按钮。
(来源:s-msft.com)
Ken 的文章简单委托应该涵盖了你需要的一切。
顺便说一句:你离正确的搜索非常近了:“双跳身份验证”会直接引导你找到这篇文章询问目录服务团队博客:了解 Kerberos 双跳
答案2
虽然我不知道 Windows 的答案(作为 Linux/UNIX 用户),但您需要确保的是,您请求了可转发的票证。