Bonjour,

Je souhaite configurer l'authentification KERBEROS sur mon application.

Voici l'architecture en place et le fonctionnement souhaité
- L'ensemble est sous le domaine AD (dodo)
- un serveur avec IIS et SQL Server : SERVERAPPLIDB
- les services de la bases fonctionnent avec un compte de service dodo/DB-SVC
- les users sont dans un Groupe AD déclaré sur la base SQL Server
- le site tourne sur IIS (WS 2012R2, II 8.5) avec un application pool dédié
>> je dispose d'un compte de service non encore utilisé dodo/APPLI-SVC pour l'application pool par exemple si nécessaire

Objectif :
Je souhaite que mes utilisateurs se connectent au site IIS avec authentification windows integree, et IIS propagera l'identité des users vers la base.

Questions

1/ IIS et DB étant sur le même serveur, s'agit-il de double-hop ?
>> ie de la délégation est-elle à prévoir sur les services ?
>> si oui, sur quels services (MSSQLSvc ? HTTP ?) et depuis quel user (dodo/APPLI-SVC ou dodo/DB-SVC) ?

2/ quels SPN sont à déclarer ?
setspn -A MSSQLsvc/SERVERAPPLIDB: PORTdb dodo/DB-SVC
setspn -A MSSQLsvc/SERVERAPPLIDB dodo/DB-SVC
setspn -A HTTP/???

3/ quelles sont les configurations IIS à réaliser
- Server
* IIS authentication : Windows authentication = enabled + providers = Negociate / tout le reste = disable ??
- Application pools
* identity = ApplicationPoolIdentitiy ?? ou CustomAccount (dodo/APPLI-SVC) ??
- Site
* IIS-authentication : Windows authentication = enabled + providers = Negociate / tout le reste = disable ??

4/ autre config : IIS, AD ?


Merci d'avance,