Kerberos資格情報を取得して2回委任する方法はありますか？何故なの？

私のオタク生活の中で、私はWindowsドメインのこの制限に対処しました

1. ログイン-コンソール
2. 何かへの統合認証（通常はWebアプリ）
3. 資格情報を別のサーバー（データベースやファイルシステムなど）に移動できません。マシン2を信頼する必要があります。

この動作を変更する構成はありますか？多くの場合、3ホップは驚くほど便利です。

資格情報を2回委任してはならない具体的な理由は何ですか（クライアント->サーバー->サーバー）。

絶対に-これはKerberos委任であり、非常に強力です。

最初にいくつかのTechNet記事を読む必要があります。

• Windows Server 2003でのKerberos認証
• Kerberosプロトコルの移行と制約付き委任

そして、Kerberosに関するKen Schaeferの素晴らしいブログ投稿を読んでください。

• IIS（インターネットインフォメーションサービス）とKerberos FAQ

ただし、基本的には、SPNがセットアップされ、Kerberosが機能していることがわかったら、Active Directoryのコンピューターオブジェクトに移動し、[委任]タブの[このコンピューターを委任に対して信頼する]ラジオボタンを選択します。

単純な委任に関するケンの記事は、必要なすべてを網羅しているはずです。

ところで、あなたは正しい検索に非常に近かったです。「ダブルホップ認証」は、Ask the Directory Services Teamブログのこの記事にあなたを導くでしょう：Kerberosダブルホップの理解

Windows（Linux / UNIXの人）の答えはわかりませんが、内部で確認する必要があるのは、転送可能なチケットを要求することです。