如何解決Kerberos雙跳問題？

Question

我在Web應用程序內調用Web服務時遇到了一些麻煩，我希望這裏有人能夠提供幫助。據我所知，這個似乎與Kerberos double-hop issue有關。但是，如果是這樣，我不知道該如何解決問題。爲了讓事情變得更加困難，我沒有適當的權限對Active Directory帳戶進行更改，所以我需要知道請求更改時要求的內容。在我的情況下，我需要將憑據（集成Windows身份驗證）從Web應用程序傳遞到後端Web服務，以便Web服務在適當的用戶上下文中運行。

這裏是我的確切問題：

這工作

這不起作用

的僅工作場景和非工作場景之間的區別在於，工作場景在localhost上運行應用程序（無論是開發人員的PC還是服務器上的問題），而非工作示例正在另一臺機器上運行。兩種方案之間的代碼完全相同。

我已經試過

1. 添加一個SPN的域帳戶運行的每個服務器setspn -a http/server1 DOMAIN\account
2. 模擬的不同方法
3. 卸下模擬代碼using(...)和執行應用程序池作爲應用程序池帳戶的Web服務調用。這按預期工作。

有沒有人有任何想法，我可以做些什麼來解決這個問題？

Answer 1

中間服務器必須被信任作爲委派。否則，將不會委派任何憑證，並且中間服務器不能模擬原始客戶端。

Answer 2

更常見的原因是服務器1不會將委派令牌傳遞給服務器2.因此，當服務器2嘗試使用該身份驗證票據去別的地方（可能是SQL服務器）時，它會失敗。

應設置爲WCF模擬級別調用

ClientCredentials.Windows.AllowedImpersonationLevel = TokenImpersonationLevel.Delegation 

http://msdn.microsoft.com/en-us/library/system.servicemodel.security.windowsclientcredential.allowedimpersonationlevel.aspx