Kerberos 위임을 수행하는 개념 증명 (proof-of-concept) 응용 프로그램을 작성하려고합니다. 모든 코드를 작성했는데 제대로 작동하고있는 것으로 보입니다. 그러나 결과 보안 컨텍스트에 ISC_REQ_DELEGATE 플래그가 설정되어 있지 않습니다.Kerberos, 위임 및 SPN에 대한 혼동
그래서 끝점 (클라이언트 또는 서버) 중 하나가 위임 할 수 없다고 생각합니다. 그러나 SPN에 대해 인증하지 않습니다. 다른 도메인 사용자에 대한 도메인 사용자 한 명. InitializeSecurityContext()
의 SPN에 "[email protected]"(서버 응용 프로그램이 실행되고있는 사용자 계정)이 전달됩니다. 이해하는 바와 같이 도메인 사용자는 기본적으로 위임을 사용하도록 설정했습니다. 어쨌든 관리자에게 확인하도록 요청했으며 "계정은 민감하므로 위임 할 수 없음"확인란이 선택 해제되었습니다.
내 서버가 네트워크 서비스로 실행 중이고 SPN을 사용하여 연결 한 경우 AD의 컴퓨터 계정에 "위임 할 컴퓨터 신뢰"확인란이 선택되어 있어야합니다. 기본값),하지만 ... 이것은 사실이 아닙니다. 맞습니까? 아니면 그렇지?
또한 컴퓨터 계정의 확인란을 설정하면 변경이 즉시 수행됩니까? 아니면 서버 PC를 재부팅해야합니까, 아니면 잠시 기다려야합니까?
Vilx는 [ServerFault] (http://serverfault.com/questions/122552/confusion-about-kerberos-delegation-and-spns)에도이 내용을 게시했습니다. 다른 사람들의 이익을 위해 여기에 링크되어 있습니다. :) – Chiramisu