Есть ли способ получить учетные данные Kerberos для делегирования дважды? Почему бы нет?

Всю свою занудную жизнь я имел дело с этим ограничением доменов Windows

1. Логин - консоль
2. Интегрированная аутентификация к чему-либо (обычно веб-приложение)
3. Мои учетные данные не могут быть перемещены на другой сервер (например, в базу данных или файловую систему). Они должны доверять машине 2.

Есть ли конфигурация, которая меняет это поведение? Во многих случаях 3 прыжка были бы удивительно удобными.

По какой конкретной причине учетные данные не должны делегироваться дважды (клиент-> сервер-> сервер)?

Безусловно - это делегирование Kerberos, и оно чрезвычайно мощное.

Сначала вам нужно прочитать пару статей TechNet:

• Проверка подлинности Kerberos в Windows Server 2003
• Переход по протоколу Kerberos и ограниченное делегирование

А затем прочитайте фанатичные посты Кена Шефера в блоге на Kerberos:

• IIS (информационные службы Интернета) и Kerberos FAQ

Но в основном, после того, как ваши имена участников-служб настроены и вы знаете, что Kerberos работает, вы переходите к объекту «Компьютер» в Active Directory и выбираете переключатель «Доверяйте этот компьютер для делегирования» на вкладке «Делегирование».

Статья Кена о простом делегировании должна охватывать все, что вам нужно.

Кстати, вы были так близки к правильному поиску: «Аутентификация Double Hop» привела бы вас прямо к этой статье из блога « Спросите службу каталогов» : понимание Kerberos Double Hop

Хотя я не знаю ответа для Windows (будучи человеком Linux / UNIX), вам необходимо убедиться, что вы запрашиваете перенаправляемый билет.