#asp.net #active-directory #kerberos #impersonation #kerberos-delegation
#asp.net #active-directory #kerberos #Олицетворение #kerberos-делегирование
Вопрос:
Я пытаюсь решить проблему с двойным переходом в своем приложении. Нам нужно, чтобы веб-сервер ITSXXXXXXX был доверенным для делегирования на компьютер SQL Server ITXXXXXXX. Я следил за этой статьей https://blogs.msdn.microsoft.com/chiranth/2014/04/17/setting-up-kerberos-authentication-for-a-website-in-iis / (пункт 9-12) для решения проблемы. Что мы сделали, так это выбрали «Доверять этому компьютеру для делегирования любой службе (только Kerberos)», и это сработало. Но теперь я получил уведомление от моей N / W команды о том, что это небезопасно, и я должен выбрать «Доверять этому компьютеру только для делегирования указанной службе». Мой вопрос в том, какой список служб мне нужно указать, чтобы мое приложение работало так же, как оно работало, когда я выбрал опцию «Доверять этому компьютеру для делегирования любой службе (только Kerberos)»?
РЕДАКТИРОВАТЬ — я могу решить проблему с помощью приведенных ниже параметров делегирования, но проблема в том, что мне нужно выбрать опцию «Использовать любой протокол аутентификации» на вкладке делегирования, пока я произвел настройки в IIS и web.config для использования аутентификации Kerberos (шаги, упомянутые в статье).). Пожалуйста, помогите, если кто-нибудь знает, как решить эту проблему.
Ответ №1:
Укажите участника службы MSSQLSVC (SPN) в списке служб учетной записи AD, которой доверяют делегирование. В приведенной ниже статье объясняется, как это сделать, и приводится множество советов по устранению неполадок. В зависимости от ваших настроек, возможно, вам также придется указать HTTP SPN в этом списке служб.