Creo que realmente debería considerar la autenticación basada en reclamos.
Microsoft ha hecho mucho recientemente. Probablemente haya oído hablar de Geneva Server (oficialmente llamado ADFS 2.0 ahora) y Geneva Framework (ahora llamado Windows Identity Foundation). La idea es que la autenticación se realice en un punto/servidor central (el Servidor Geneva o un Servidor de Token de Seguridad (STS) en general), el usuario autenticado recibe un token de seguridad (basado en SAML 2.0) que presenta al recurso él/ella quiere acceder La autenticación se puede realizar de varias maneras, incluyendo nombre de usuario/contraseña, tarjeta inteligente, certificados o, en su caso, traduciendo un token ya presente como la autenticación de Windows (llamada Autenticación integrada de Windows).
El token está basado en SAML 2.0 (estándar de la industria que es importante para una buena interoperabilidad con los productos STS de otros proveedores). Contiene afirmaciones sobre una persona que se utilizan en una aplicación o recurso (que también incluye servicios web) para hacer la autorización (concesión de derechos). A tal fin, es esencial, por supuesto, que la aplicación confíe en los reclamos dados por el STS. Por otro lado, la aplicación no necesita hacer ninguna autenticación en absoluto.
Geneva Framework es una biblioteca (.NET) utilizada para procesar tokens en una aplicación. Es bastante simple de usar.
Para más información, eche un vistazo a los libros blancos que dan una buena introducción a este tema. El sitio oficial es here.
Por supuesto, hay muchos más problemas que se abordan con estos conceptos que realmente es la parte interesante en mi humilde opinión. Esto incluye inicio de sesión único (SSO), inicio de sesión único federado (a través de múltiples límites de la organización), delegación (una aplicación utiliza un servicio web con sus derechos de usuario). Espero que esta información ayude!
Saludos
PS: Por supuesto que esto no es en absoluto un problema de Microsoft. Existen otros productos de STS como Sun OpenSSO, Ping Identity y Thinktecture Identity Server que proporcionan una funcionalidad similar. Acabo de resaltar las cosas de Microsoft porque es una buena interoperabilidad con AD y la autenticación de Windows mencionada en la pregunta.
Haga que la aplicación se haga pasar por un Principal de dominio creado para tal fin. –
¿Busca específicamente una respuesta de programación, ya que el paquete Kerberos puede configurarse específicamente para permitir este tipo de comportamiento? –