將AD用戶從客戶端傳遞到IIS服務器到DB服務器

Question

是否有可能將AD用戶從客戶端傳遞到服務器IIS然後使用此AD用戶登錄SQL-Server？所以，我需要是這樣的：

--client--    ---IIS---    -------SQL-Server------- 
|AD-User | --AD-User--> |WebPage| --AD-User--> |Logged on with AD-User| 
----------    ---------    ------------------------ 

這隻能如果SQL-Server是相同的服務器IIS上：

--client--    -------Server------- 
|AD-User | --AD-User--> |IIS withWebPage | 
----------    |SQL-Server with DB| 
         -------------------- 

但它的工作原理不是如果IIS和SQL-Server是在兩個不同的機器。

有誰知道如何通過兩臺不同的機器將AD用戶從客戶端傳遞到IIS到SQL-Server？我必須做哪些設置？

Answer 1

不幸的是，使用NTLM身份驗證不起作用。問題是您的用戶無法在不知道密碼的情況下對下一個躍點進行身份驗證。這是IIS服務器不知道的，因爲只有基於密碼的哈希才能用於從客戶端到IIS的身份驗證。您可以通過搜索「雙重身份驗證」來查找更多信息。

這裏是描述這個問題的文章： http://blogs.msdn.com/b/besidethepoint/archive/2010/05/09/double-hop-authentication-why-ntlm-fails-and-kerberos-works.aspx

我前一段時間有同樣的問題，並決定使用使用SQL身份驗證服務帳戶的數據庫訪問。 Kerberos不是一種選擇，因爲沒有在客戶基礎架構上實施。

希望幫助...