将AD用户从客户端传递到IIS服务器到DB服务器

Question

是否有可能将AD用户从客户端传递到服务器IIS然后使用此AD用户登录SQL-Server？所以，我需要是这样的：

--client--    ---IIS---    -------SQL-Server------- 
|AD-User | --AD-User--> |WebPage| --AD-User--> |Logged on with AD-User| 
----------    ---------    ------------------------ 

这只能如果SQL-Server是相同的服务器IIS上：

--client--    -------Server------- 
|AD-User | --AD-User--> |IIS withWebPage | 
----------    |SQL-Server with DB| 
         -------------------- 

但它的工作原理不是如果IIS和SQL-Server是在两个不同的机器。

有谁知道如何通过两台不同的机器将AD用户从客户端传递到IIS到SQL-Server？我必须做哪些设置？

Answer 1

不幸的是，使用NTLM身份验证不起作用。问题是您的用户无法在不知道密码的情况下对下一个跃点进行身份验证。这是IIS服务器不知道的，因为只有基于密码的哈希才能用于从客户端到IIS的身份验证。您可以通过搜索“双重身份验证”来查找更多信息。

这里是描述这个问题的文章： http://blogs.msdn.com/b/besidethepoint/archive/2010/05/09/double-hop-authentication-why-ntlm-fails-and-kerberos-works.aspx

我前一段时间有同样的问题，并决定使用使用SQL身份验证服务帐户的数据库访问。 Kerberos不是一种选择，因为没有在客户基础架构上实施。

希望帮助...