Ошибка делегирования для Kerberos для Specifi c Windows Рабочая станция

Question

У меня проблема с рабочей станцией c Проблема с Kerberos, и я надеюсь, что у кого-нибудь здесь будут дополнительные рекомендации.

Наше приложение имеет сервер приложений и веб-сервер, и Kerberos настроен как на уровне приложения, так и на веб-уровне.

И для некоторых пользователей, когда мы предоставляем ссылку Kerberos, и они не могут авторизоваться. И мы обнаружили, что проблема спецификация рабочей станции c. И на той же проблемной рабочей станции c пользователь мог получить доступ к серверу приложений через аутентификацию Kerberos.

И в веб-логи c мы видим следующую ошибку:

[SpnegoFilter.doFilter] Хотя аутентификация пользователя в xxx прошла успешно, встроенная аутентификация не смогла извлечь учетные данные пользователя, поскольку она появляется делегирование либо не настроено, либо запрещено

Я ищу какой-либо из параметров Windows, который может привести к этой проблеме? Мы проверяем, что наш домен пользуется доверием как на рабочих, так и на нерабочих компьютерах на уровне браузера, и настройки объекта групповой политики совпадают.

Answer 1

То, что вы описываете, - это неограниченное делегирование, которое представляет собой действие, когда пользователь передает удаленному серверу свой TGT, чтобы сервер мог выдавать себя за пользователя без ограничений.

Windows считает это невероятно опасным ( это так) и движется к его прямому отключению, когда на клиенте включены определенные службы безопасности. Конкретные гвардейские полномочия . Это также заблокирует его для пользователей, которые являются членами группы безопасности Protected Users , хотя тот факт, что это влияет на определенные c рабочие станции, склоняется к учетным данным.

Если это выше проблемы правильное решение состоит в том, чтобы переключиться на ограниченное делегирование .