0

我遇到了工作站特定的 Kerberos 问题,希望这里的任何人都可以提出更多建议。

我们的应用程序有一个应用程序服务器和一个 Web 服务器,我们在应用程序层和 Web 层都配置了 kerberos。

对于某些用户,当我们提供 Kerberos 链接并且他们无法授权时。我们发现问题是特定于工作站的。在同一个有问题的工作站上,用户可以通过 Kerberos 身份验证访问应用程序服务器。

在网络逻辑上,我们看到以下错误:

[SpnegoFilter.doFilter] 虽然对 xxx 的用户身份验证成功,但集成身份验证无法提取用户的凭据,因为它似乎未配置或不允许委派

我正在寻找任何可能导致此问题的 Windows 设置?我们检查我们的域在浏览器级别的工作和非工作机器上是否受信任,并且 GPO 设置是否相同。

4

1 回答 1

0

您所描述的是无约束委派,这是用户将其 TGT 交给远程服务器的行为,以便服务器可以不受限制地模拟用户。

Windows 认为这非常危险(确实如此),并且正在朝着在客户端上启用某些安全服务时彻底禁用它的方向发展。特别是 Credential Guard。它还将为受保护用户安全组成员的用户阻止它,尽管它影响特定工作站的事实倾向于 Credential Guard。

如果是上述问题,正确的解决方案是切换到约束委派

于 2020-02-05T17:21:22.200 回答