Existe uma maneira de obter credenciais Kerberos para delegar duas vezes? Por que não?

Toda a minha vida nerd, lidei com essa limitação dos domínios do Windows

1. Login - console
2. Autenticação integrada para algo (geralmente aplicativo da web)
3. Minhas credenciais não podem ser movidas para outro servidor (por exemplo, banco de dados ou sistema de arquivos). Eles precisam confiar na máquina 2.

Existe uma configuração que altera esse comportamento? Em muitos casos, três saltos seriam incrivelmente convenientes.

Qual é o motivo específico pelo qual as credenciais não devem delegar duas vezes (cliente-> servidor-> servidor)?

Absolutamente - esta é a delegação Kerberos e é extremamente poderosa.

Você precisa ler alguns artigos do TechNet primeiro:

• Autenticação Kerberos no Windows Server 2003
• Transição de protocolo Kerberos e delegação restrita

E então leia as postagens de blog fanstastic de Ken Schaefer no Kerberos:

• Perguntas frequentes sobre o IIS (Internet Information Services) e o Kerberos

Mas, basicamente, quando os SPNs estiverem configurados e você souber que o Kerberos está funcionando, acesse o Objeto do computador no Active Directory e selecione o botão de opção "Confiar neste computador para delegação" na guia Delegação.

O artigo de Ken sobre delegação simples deve cobrir tudo o que você precisa.

BTW: Você estava tão perto da pesquisa correta: "Autenticação de salto duplo" levaria você diretamente a este artigo do blog da equipe de serviços de diretório da Ask : Entendendo o salto duplo do Kerberos

Embora eu não saiba a resposta para o Windows (sendo uma pessoa Linux / UNIX), o que você precisa garantir é que solicita um tíquete de encaminhamento.