Технические подробности

Упрощенное ограниченное делегирование Kerberos в Windows Server 2012.
Ограниченное делегирование позволяет указать те внутренние службы, для которых внешняя служба может запрашивать билеты от имени другого пользователя. Такое поведение проще всего понять, анализируя действия по проверке подлинности как последовательность двух событий: клиент проходит проверку во внешней службе, а внешняя служба проходит проверку во внутренней.
Проверка подлинности «клиент - внешняя служба». Проверка подлинности между клиентом Kerberos и внешним сервером не меняется при использовании ограниченного делегирования на основе ресурсов. Клиент Kerberos запрашивает билет службы из локального центра распространения ключей Key Distribution Center (KDC) для целевого имени участника - службы service principal name (SPN).
Если целевая служба находится в том же домене, то KDC выдает билет службы и сеансовый ключ клиенту Kerberos в сообщении TGS-REP. Если целевая служба находится вне текущего домена, KDC выдает ссылочный билет TGT с использованием межобластного сеансового ключа доверительного отношения в TGS-REP. Клиент Kerberos следует по ссылке, как обычно при проверке подлинности в ресурсе вне домена (через доверительное отношение).
Проверка подлинности «внешняя служба - внутренняя служба». Проверка подлинности внешней службы (клиент Service-for-User, S4U) во внутренней службе отличается при использовании ограниченного делегирования на основе ресурсов. Для делегирования требуется, чтобы компьютер, на котором выполняется внешняя служба, работал с Server 2012, так как службы, функционирующие на версиях Windows, предшествующих Windows 8 и Server 2012, не обеспечивают ограниченного делегирования на основе ресурсов; в ранних версиях Windows нет следования по ссылкам из Service-for-User-to-Proxy (S4U2 Proxy) TGS-REQ через границы домена. Во время проверки подлинности между внешней и внутренней службами внешняя запрашивает у KDC билет службы от имени другого пользователя. В этом обмене используется расширение S4U2 Proxy (то есть ограниченное делегирование). Клиент Kerberos успешно представляет билет службы внешней службе. Внешняя служба олицетворяет удостоверение, представленное в билете службы, и пытается выполнить проверку подлинности во внутренней службе с именем SPN. Такая попытка приводит к тому, что внешняя служба создает S4U2 Proxy TGS-REQ для KDC в домене внешнего сервера. В запрос входят целевое имя SPN, находящееся в другом домене, и билет службы, используемый для проверки подлинности во внешней службе. Возвращенный TGS - REP зависит от отвечающего KDC.