如何解決 Kerberos 雙跳問題？

我在從 Web 應用程序中呼叫 Web 服務時遇到了一些問題，我希望這裡的人能夠提供幫助。據我所知，這似乎與 Kerberos雙跳問題有關。但是，如果是這樣，我不確定該怎麼做才能真正解決問題。為了讓事情變得更難，我沒有適當的權限來更改 Active Directory 帳戶，因此我需要知道在請求更改時要求什麼。在我的情況下，我需要將憑據（集成 Windows 身份驗證）從 Web 應用程序傳遞到後端 Web 服務，以便 Web 服務在正確的使用者上下文下執行。

這是我的確切問題：

這有效

這不起作用

工作場景和非工作場景之間的唯一區別是工作場景是在本地主機上執行應用程序（無論是開發人員的 PC 還是在相關伺服器上），而非工作範例在另一台機器上執行*。*兩種場景之間的程式碼完全相同。

我試過的

1. 將 SPN 添加到為每個伺服器執行應用程序池的域帳戶setspn -a http/server1 DOMAIN\account
2. 不同的模仿方法
3. 刪除模擬程式碼using(...)並作為應用程序池帳戶執行 Web 服務呼叫。這按預期工作。

有沒有人知道我可以做些什麼來解決這個問題？

必須信任中間伺服器才能進行委派。否則，將不會委託任何憑證，並且中間伺服器無法模擬原始客戶端。

引用自：https://stackoverflow.com/questions/14928350