Konfigurace omezeného delegování protokolu Kerberos (KCD) ve službě Microsoft Entra Domain Services

Při spouštění aplikací může být potřeba, aby tyto aplikace měly přístup k prostředkům v kontextu jiného uživatele. Služba Active Directory Domain Services (AD DS) podporuje mechanismus označovaný jako delegování protokolu Kerberos, který umožňuje tento případ použití. Kerberos omezené delegování (KCD) pak vychází z tohoto mechanismu, který definuje konkrétní prostředky, k nimž lze přistupovat v kontextu uživatele.

Spravované domény služby Microsoft Entra Domain Services jsou bezpečněji uzamčeny než tradiční místní prostředí SLUŽBY AD DS, takže používejte bezpečnější prostředků KCD.

V tomto článku se dozvíte, jak nakonfigurovat omezené delegování Kerberos založené na prostředcích ve spravované doméně domain Services.

Požadavky

K dokončení tohoto článku potřebujete následující zdroje informací:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte si účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • V případě potřeby vytvořit tenanta Microsoft Entra nebo přidružit předplatné Azure k vašemu účtu.
• Doména spravovaná službou Microsoft Entra Domain Services je ve vašem tenantovi Microsoft Entra povolena a nakonfigurována.
  • V případě potřeby vytvořit a nakonfigurovat spravovanou doménu služby Microsoft Entra Domain Services.
• Virtuální počítač pro správu Windows Serveru, který je připojený ke spravované doméně Domain Services.
  • V případě potřeby dokončete kurz vytvoření virtuálního počítače s Windows Serverem a jeho připojení ke spravované doméně pak nainstalujte nástroje pro správu služby AD DS.
• Uživatelský účet, který je členem skupiny Microsoft Entra DC administrators ve vašem tenantovi Microsoft Entra.

Přehled omezeného delegování pomocí Kerberos

Delegování Kerberos umožňuje účtu zosobnit jiný účet pro přístup k prostředkům. Například webová aplikace, která přistupuje ke komponentě back-endu, může vystupovat jako jiný uživatelský účet, když se připojí k back-endu. Delegování Kerberos je nezabezpečené, protože neomezuje prostředky, ke kterým má účet zosobnění přístup.

Protokol Kerberos omezené delegování (KCD) omezuje služby nebo prostředky, ke kterým se může určitý server nebo aplikace připojit při zosobnění jiné identity. Tradiční KCD vyžaduje oprávnění správce domény ke konfiguraci účtu domény pro službu a omezuje spuštění účtu v jedné doméně.

Tradiční KCD má také několik problémů. Například v dřívějších operačních systémech neměl správce služeb žádný užitečný způsob, jak zjistit, které front-endové služby delegovaly na služby prostředků, které vlastní. Jakákoli front-endová služba, která by mohla delegovat na službu prostředků, představovala potenciální bod útoku. Pokud byl ohrožen server, který hostoval front-end službu nakonfigurovanou k delegování na služby prostředků, mohly by být ohroženy i samotné služby prostředků.

Ve spravované doméně nemáte oprávnění správce domény. V důsledku toho není možné ve spravované doméně nakonfigurovat tradiční KCD založené na účtech. Místo toho lze použít KCD založené na prostředcích, které je také bezpečnější.

KCD založené na prostředcích

Windows Server 2012 a novější poskytuje správcům služeb možnost konfigurovat omezené delegování pro svou službu. Tento model se označuje jako KCD vycházející z prostředků. Díky tomuto přístupu může správce back-endových služeb povolit nebo odepřít konkrétní front-endové služby v používání KCD.

KCD orientované na prostředky se konfiguruje pomocí PowerShellu. Používáte rutiny Set-ADComputer nebo Set-ADUser v závislosti na tom, zda je zosobňující účet účtem počítače, uživatelským účtem nebo účtem služby.

Konfigurace KCD založeného na prostředcích pro účet počítače

V tomto scénáři předpokládejme, že máte webovou aplikaci, která běží na počítači s názvem contoso-webapp.aaddscontoso.com.

Webová aplikace potřebuje přístup k webovému rozhraní API, které běží na počítači s názvem contoso-api.aaddscontoso.com v kontextu uživatelů domény.

Provedením následujících kroků nakonfigurujte tento scénář:

1. Vytvořte vlastní organizační jednotku. Oprávnění ke správě této vlastní organizační jednotky můžete delegovat uživatelům ve spravované doméně.

2. Připojte virtuální počítače, jak ten, který spouští webovou aplikaci, tak ten, který spouští webové API, ke spravované doméně. Vytvořte tyto účty počítačů ve vlastní organizační jednotce z předchozího kroku.

   Poznámka

   Účty počítačů pro webovou aplikaci a webové API musí být ve vlastní organizační jednotce, v rámci které máte oprávnění ke konfiguraci zdrojově založeného KCD. Nemůžete nakonfigurovat KCD založené na prostředcích pro účet počítače ve vestavěném kontejneru Microsoft Entra DC Computers.

3. Nakonec nakonfigurujte KCD založené na prostředcích pomocí cmdletu PowerShellu Set-ADComputer.

   Z vaší správcovské VM připojené k doméně a přihlášením jako uživatelský účet, který je členem skupiny administrátorů řadiče domény Microsoft Entra, spusťte následující příkazy. Podle potřeby zadejte vlastní názvy počítačů:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Konfigurace KCD založeného na prostředcích pro uživatelský účet

V tomto scénáři předpokládejme, že máte webovou aplikaci, která běží jako účet služby s názvem appsvc. Webová aplikace potřebuje přístup k webovému rozhraní API, které běží jako účet služby s názvem back-endsvc v kontextu uživatelů domény. Provedením následujících kroků nakonfigurujte tento scénář:

1. Vytvořte vlastníorganizační jednotku. Oprávnění ke správě této vlastní organizační jednotky můžete delegovat uživatelům ve spravované doméně.

2. Připojte virtuální počítače, které provozují back-endové webové API nebo zdroj, ke spravované doméně. Vytvořte jeho účet počítače v rámci vlastní organizační jednotky.

3. Vytvořte účet služby (například appsvc) použitý ke spuštění webové aplikace ve vlastní organizační jednotce.

   Poznámka

   Účet počítače pro virtuální počítač (VM) s webovým rozhraním API a účet služby pro webovou aplikaci musí být znovu ve vlastní organizační jednotce, kde máte oprávnění ke konfiguraci KCD založeného na prostředcích. KCD založené na prostředcích nemůžete konfigurovat pro účty v integrovaném kontejneru Microsoft Entra DC Computers nebo Microsoft Entra DC Users. To také znamená, že k nastavení KCD založeného na prostředcích nemůžete používat uživatelské účty synchronizované z ID Microsoft Entra. Musíte vytvořit a používat účty služeb vytvořené speciálně ve službě Domain Services.

4. Nakonec nakonfigurujte KCD založené na prostředcích pomocí rutiny Set-ADUser PowerShellu.

   Z virtuálního počítače pro správu připojeného k doméně a přihlášeni pomocí uživatelského účtu, který je členem skupiny správci řadiče domény Microsoft Entra, spusťte následující příkazové rutiny. Podle potřeby zadejte vlastní názvy služeb:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Další kroky

Další informace o fungování delegování ve službě Active Directory Domain Services najdete v tématu Přehled omezeného delegování protokolu Kerberos.