1
我正在尝试编写一个执行Kerberos委派的概念验证应用程序。我编写了所有的代码,并且它似乎正在工作(我正在进行身份验证),但是生成的安全上下文没有设置ISC_REQ_DELEGATE标志。关于Kerberos,委派和SPN的混淆
所以我在想,也许其中一个端点(客户端或服务器)被禁止委托。但是,我没有对SPN进行身份验证。只有一个域用户针对另一个域用户。作为InitializeSecurityContext()的SPN,我传递了“[email protected]”(这是运行服务器应用程序的用户帐户)。据我所知,域用户默认启用了委托。无论如何,我要求管理员检查,并且“帐户敏感且无法委派”复选框已关闭。
我知道如果我的服务器是作为NETWORK SERVICE运行的,并且我使用SPN连接到它,那么我需要AD中的计算机帐户才能选中“信任计算机委派”复选框默认),但是......情况并非如此,对吗?或者是?
此外 - 当设置了计算机帐户中的复选框时,立即进行更改,还是必须重新启动服务器PC或等待一段时间?
Vilx也在[ServerFault]上发布了这个(http://serverfault.com/questions/122552/confusion-about-kerberos-delegation-and-spns)。为了他人的利益而链接到这里。 :) – Chiramisu 2012-11-09 21:57:07