Délégation d’authentification

compte de la machine B. La délégation assure également une fonction
d’expédition d’authentification.

Dans le processus de délégation Kerberos, l’utilisateur A expédie un ticket à 
la machine intermédiaire B, laquelle utilise le ticket de A pour s’authentifier
vis-à -vis d’un serveur d’applications C.

La délégation peut s’utiliser pour l’authentification dans les applications multiutilisateurs,
comme Outlook Web Access (OWA). Pour utiliser OWA, les utilisateurs accèdent à 
leurs boîtes à  lettres à  partir d’un navigateur Web. Dans la plupart des cas,
le serveur Exchange qui contient les boîtes à  lettres des utilisateurs n’est pas
installé au même endroit que le serveur Internet Information Server. Ce dernier
doit donc s’authentifier vis-à -vis du serveur Exchange comme s’il était l’utilisateur.

Dans NT 4.0, ce scénario pose des problèmes, lorsqu’il s’agit d’utiliser le protocole
NTLM (NT LAN Manager) pour l’authentification sur les deux liaisons à  la fois
(c’est-à -dire entre le navigateur et IIS et entre IIS et le serveur Exchange).

En effet, NTLM ne supporte pas la délégation.Il est possible d’activer la délégation
pour chaque compte d’utilisateur et d’ordinateur Windows 2000 en cochant la case
Account is trusted for delegation dans la boîte de dialogue propriétés d’un compte,
comme le montre l’écran 4. On peut également utiliser l’entrée du GPO Windows
2000 Enable computer and user accounts to be trusted for delegation pour l’activer.