Web services Kerberos身份验证和反向代理的相互作用

我需要对反向代理和Kerberos协议的相互作用有一些高层次的了解

假设我有一个web服务和一个客户机，它们已经实现并工作了。现在，我们将web服务放到反向代理后面的网络中。反向代理后网络中的内部身份验证基于Kerberos

现在我想知道这个新的基础设施是否会对web服务端和客户端进行一些必要的编程更改？这取决于

反向代理是否将使用其自己的票证在此intranet中充当客户端

或者外部客户端是否必须知道这个附加的身份验证层，并且必须能够自己请求票据

在这种情况下，技术水平如何

---

提前谢谢

我想我找到了答案受约束的委派是我期望存在的Kerberos协议的特性

如果我们将SSL/TLS与基于相互证书的身份验证一起使用，那么客户端将由代理进行身份验证，代理通过本地CA（在隐藏的intranet内）验证客户端的证书。之后，代理将代表已经通过身份验证的客户端生成Kerberos票据

在服务器端，票证验证应该在运行时级别进行（例如，通过IIS）

---

因此，如果客户机能够通过SSL/TLS使用服务，那么Kerberos身份验证对于客户机和服务器仍然是完全透明的。

Christian-只是想知道您使用什么反向代理来执行Kerberos约束的委托，并使用双向SSL隧道上行？