Моя проблема аутентификации связана с проблемой двойного прыжка?

Question

У нас проблема с аутентификацией на нашем самодельном веб-сайте для совместной работы.

У нас есть сервер A с платформой Collab.Мы входим с нашей учетной записью домена на сайте.Этот веб-сайт взаимодействует с API на сервере B, но сервер B также должен иметь возможность получать данные из внутренней сети (Sharepoint) на сервере C. Является ли это проблемой двойного прыжка?NTLM использует, а не Kerberos.

Нужно ли нам все менять на Kerberos?Я нашел много о двойном прыжке, но ни у одного нет приличного объяснения того, как его настроить / исправить.

Сервер A и B - 2012R2, сервер C - 2016.

Answer 1

Да.Когда вам нужно аутентифицировать пользователя на веб-сервере, а затем повторно использовать и передавать учетные данные с веб-сервера на другой сервер, это сценарий «двойной скачок».Единственный способ разрешить это - установить доверие Kerberos между этими двумя машинами.Это делается в Active Directory.

Вам не нужно «конвертировать все ваши вещи в Kerberos», потому что он уже встроен в любой сервер, который находится в ActiveКаталог домена.

В IIS вам нужно настроить «IIS», «Аутентификация» для использования «дайджест-аутентификации» (конечно, Anonymous отключена).

Есть десятки замечательных статейВы через все, что я не упомянул.( Как этот ) Это не сложно, но требуется время, чтобы выучить это в первый раз.Так что не нужно беспокоиться.