У меня следующая установка:
Сайт MVC на ServerA использует службу Web Api на ServerB. Пользователи входят на сайт MVC, но некоторые методы обслуживания в веб-API требуют, чтобы пользователь выполнял определенную роль и т.д., поэтому мне нужно иметь возможность аутентифицировать пользователя на уровне веб-API.
По этой причине я попытался настроить Kerberos. ServerA был доверен для делегирования. Веб-сайт MVC работает под учетной записью сетевого пользователя (здесь мы назовем ее ServiceAccount), которая была настроена для делегирования. Я настроил для этого SPN. Однако все запросы от сайта MVC к веб-API показывают, что пользователь является ServiceAccount, а не фактическим пользователем, вошедшим в систему на сайте MVC.
Информация о Kerberos кажется фрагментированной, поэтому я изо всех сил пытаюсь найти решение. Есть ли у кого-нибудь идеи, что здесь может быть не так?
Спасибо
Ничего не добившись с этим, я в конце концов нашел следующую статью: http://blogs.msdn.com/b/canberrapfe/archive/2012/01/02/kerberos-troubleshooting.aspx в частности, инструкции в «Разделе 5». Здесь описывается, как настроить очень простой тест для устранения неполадок двойных прыжков Kerberos, который помог мне наладить работу моей собственной настройки.