特定 Windows 工作站的 Kerberos 委派错误

Delegation Error for Kerberos for Specific Windows Workstation

我有一个特定于工作站的 Kerberos 问题,希望这里的任何人都能提供额外的建议。

我们的应用程序有应用服务器和网络服务器,我们在应用层和网络层都配置了kerberos。

对于某些用户,当我们提供 Kerberos link 并且他们无法授权时。我们发现问题是 工作站特定 。在同一个有问题的工作站上,用户可以通过 Kerberos 身份验证访问应用程序服务器。

并且在 Web 逻辑上我们看到以下错误:

[SpnegoFilter.doFilter]虽然对 xxx 的用户身份验证成功,但集成身份验证无法提取用户的凭据,因为似乎未配置或不允许委派

我正在寻找任何可能导致此问题的 Windows 设置?我们检查我们的域在浏览器级别的工作和非工作机器上是否受信任,并且 GPO 设置相同。

您所描述的是无约束委派,这是用户将其 TGT 交给远程服务器以便服务器可以不受限制地模拟用户的行为。

Windows 认为这是非常危险的(确实如此),并且正在朝着在客户端启用某些安全服务时完全禁用它的方向发展。 Specifically Credential Guard. It will also block it for users that are members of the Protected Users 安全组,尽管它影响特定工作站的事实倾向于 Credential Guard。

如果是以上问题正确的解决方法是切换到constrained delegation.