有没有一种方法可以使Kerberos凭据委派两次？为什么不？

我一生的书呆子，我已经解决了Windows域的这种限制

1. 登录-控制台
2. 集成身份验证到某物（通常是Web应用程序）
3. 我的凭据无法移至其他服务器（例如数据库或文件系统）。他们必须信任机器2。

是否有更改此行为的配置？在许多情况下，三跳非常方便。

凭据不应该两次委托的具体原因是什么（客户端->服务器->服务器）？

绝对-这是Kerberos委派，功能非常强大。

您需要首先阅读TechNet的几篇文章：

• Windows Server 2003中的Kerberos身份验证
• Kerberos协议转换和约束委派

然后阅读Kerberos上Ken Schaefer的幻想博客文章：

• IIS（Internet信息服务）和Kerberos常见问题解答

但基本上，一旦安装了SPN并且知道Kerberos正在工作，就可以转到Active Directory中的“计算机对象”，然后在“委派”选项卡上选择“信任此计算机进行委派”单选按钮。

肯关于简单委派的文章应涵盖您需要的所有内容。

顺便说一句：您是如此接近正确的搜索：“双跃点身份验证”将带您进入“ 询问目录服务团队”博客的这篇文章：理解Kerberos双跃点。

虽然我不知道Windows的答案（成为Linux / UNIX人士），但您需要确保在幕后要求您提供可转让票证。