我有一个具有 Windows 身份验证和模拟功能的 IIS Web 应用程序。此应用程序连接到 SQL 服务器。在这种情况下,Kerberos 工作正常。
但有一个问题。Web 应用程序运行 Windows 应用程序 (COM),它也连接到 SQL 服务器。Windows 应用程序使用 IIS 应用程序用户凭据运行,并模拟当前站点用户连接到 SQL 服务器。
方案:https://i.stack.imgur.com/2cgv7.png
当 IIS 用户的委派设置为“信任此计算机委派任何服务”时,一切正常。但根据安全要求,我不能使用这种类型的委派。
当我将委派设置为“特定服务”并选择 MSSQLSvc SPN 时,Windows 应用程序的连接失败,并出现“ANONIMOUS”错误。WireShark 显示“KRB5KDC_ERR_BADOPTION”数据包。
我做错了什么?