Почему пользователи могут делегировать аутентификацию IIS через IE?

Question

Аутентификация Kerberos поддерживает делегирование, но делегирование требует сотрудничества между клиентом и сервером.
Если клиент использует SSPI, например, он должен установить флаг ISC_REQ_DELEGATE при вызове InitializeSecurityContext.
Если сервер IIS (более точно приложений, запущенных в IIS), хочет использовать аутентификацию клиента для другого удаленного доступа, клиенты (браузер IE) должны использовать делегирование, но как знать, что сервер хочет это сделать?

Answer 1

Это немного зависит от браузеров. SSPI фактически использует две вещи для управления делегированием. Во-первых, флаг ISC_REQ_DELEGATE для InitializeSecurityContext должен быть установлен по мере обсуждения. Во-вторых, хотя учетная запись компьютера в Active Directory должна включать флаг доверенных для делегирования. Этот флаг также называется ok-as-delegate в документации Kerberos. Идея состоит в том, что браузер всегда может установить флаг делегирования делегирования в InitializeSecurityContext, но Active Directory решает, работает ли делегирование. IE обычно устанавливает этот флаг и обычно поддерживает делегирование, если разрешает учетная запись веб-сервера. См. here для обсуждения того, как настроить делегирование в Firefox.
См. here для обсуждения того, как настроить учетную запись компьютера веб-сервера. И см. here для обсуждения делегации, ее рисков и ограниченного делегирования, что является альтернативой, которая не требует сотрудничества с браузером. См. this RFC для обсуждения того, как ваш клиент-клиент может использовать флаг ok-as-delegate, если вам нужно закодировать GSS-API, а не SSPI.