1
我正在嘗試編寫一個執行Kerberos委派的概念驗證應用程序。我編寫了所有的代碼,並且它似乎正在工作(我正在進行身份驗證),但是生成的安全上下文沒有設置ISC_REQ_DELEGATE標誌。關於Kerberos,委派和SPN的混淆
所以我在想,也許其中一個端點(客戶端或服務器)被禁止委託。但是,我沒有對SPN進行身份驗證。只有一個域用戶針對另一個域用戶。作爲InitializeSecurityContext()的SPN,我傳遞了「[email protected]」(這是運行服務器應用程序的用戶帳戶)。據我所知,域用戶默認啓用了委託。無論如何,我要求管理員檢查,並且「帳戶敏感且無法委派」複選框已關閉。
我知道如果我的服務器是作爲NETWORK SERVICE運行的,並且我使用SPN連接到它,那麼我需要AD中的計算機帳戶才能選中「信任計算機委派」複選框默認),但是......情況並非如此,對嗎?或者是?
此外 - 當設置了計算機帳戶中的複選框時,立即進行更改,還是必須重新啓動服務器PC或等待一段時間?
Vilx也在[ServerFault]上發佈了這個(http://serverfault.com/questions/122552/confusion-about-kerberos-delegation-and-spns)。爲了他人的利益而鏈接到這裏。 :) – Chiramisu 2012-11-09 21:57:07