שלום. אתאר סיטואציה.
דומיין A ודומיין B... משתמשים מדומיין A צריכים לגשת לדומיין B לאפליקציית WEB שכתובה ב .NET כאשר ההתחברות צריכה להעשות ב KERBEROS.
אין TRSUT בין הדומיינים. המשתמשים מדומיין A מזדהים בדומיין B עם יוזר שקיים בדומיין B.
בכל הסיפור הנ"ל אין לי KERBEROS עובד.

כמובן שאם משתמשים מדומיין A משתמשים במשתמש שלהם יש KERBEROS מלא והכל תקין עפ"י כל הפרמטרים.
יש דליגיישן, יש אימפרסוניישן... ונאדה. לא עובד.

למישהו יש רעיון ?
בתודה מראש.

בחלק של ה"כמובן", המשתמשים מדומיין A מתחברים לשרת WEB אשר נמצא בדומיין A והכול עובד?

כי אם אני זוכר נכון את ימי התכנות (העליזים?) שלי, היינו צריכים להגדיר ספציפית לתוכנה להשתמש בdelegation ולהגדיר את המחשבים והשרתים (והמשתמשים!) כ trusted for delegation לא היה מספיק.

כמו כן, קבע בIIS את הminimum authentication level לkerberos ולא ntlm או ntlm2 כפי שמוגדר בברירת המחדל.
http://www.nv.doe.gov/_vti_bin/help...ml/wsapuser.htm

דליגציה לא יכולה להתבצע מכיוון שהם ב realm אחר ולכן פרטי ה ticket שלהם שונים.
לבסוף העבדוה התבצעה ע"י basic authentication והזנת credentials ידנית ע"י האפליקציה בעת ההזדהות ל DirectoryEntry.

יום טוב.

אם מדובר על אותו הפורסט ו/(או?) יש trust - ניתן לבצע, מניסיון.

basic זה בעייתי, ההצפנה היא ברת-פריצה ומאוד בקלות (אני חושב שמיקרוסופט אפילו מספקים כלי בשביל זה)
למה שלא תעבירו את הקוד לרמת השרת ותעבדו עם proxy com? (צרו רכיב dcom שקורא למה שצריך, תתקינו אותו על השרת ותתקינו על הלקוח proxy שלו, ככה אין צורך להקיש סיסמה)