Sdílet prostřednictvím


Konfigurace omezeného delegování protokolu Kerberos (KCD) ve službě Microsoft Entra Domain Services

Při spouštění aplikací může být potřeba, aby tyto aplikace měly přístup k prostředkům v kontextu jiného uživatele. Služba Active Directory Domain Services (AD DS) podporuje mechanismus označovaný jako delegování protokolu Kerberos, který umožňuje tento případ použití. Kerberos omezené delegování (KCD) pak vychází z tohoto mechanismu, který definuje konkrétní prostředky, k nimž lze přistupovat v kontextu uživatele.

Spravované domény služby Microsoft Entra Domain Services jsou bezpečněji uzamčeny než tradiční místní prostředí SLUŽBY AD DS, takže používejte bezpečnější prostředků KCD.

V tomto článku se dozvíte, jak nakonfigurovat omezené delegování Kerberos založené na prostředcích ve spravované doméně domain Services.

Požadavky

K dokončení tohoto článku potřebujete následující zdroje informací:

Přehled omezeného delegování pomocí Kerberos

Delegování Kerberos umožňuje účtu zosobnit jiný účet pro přístup k prostředkům. Například webová aplikace, která přistupuje ke komponentě back-endu, může vystupovat jako jiný uživatelský účet, když se připojí k back-endu. Delegování Kerberos je nezabezpečené, protože neomezuje prostředky, ke kterým má účet zosobnění přístup.

Protokol Kerberos omezené delegování (KCD) omezuje služby nebo prostředky, ke kterým se může určitý server nebo aplikace připojit při zosobnění jiné identity. Tradiční KCD vyžaduje oprávnění správce domény ke konfiguraci účtu domény pro službu a omezuje spuštění účtu v jedné doméně.

Tradiční KCD má také několik problémů. Například v dřívějších operačních systémech neměl správce služeb žádný užitečný způsob, jak zjistit, které front-endové služby delegovaly na služby prostředků, které vlastní. Jakákoli front-endová služba, která by mohla delegovat na službu prostředků, představovala potenciální bod útoku. Pokud byl ohrožen server, který hostoval front-end službu nakonfigurovanou k delegování na služby prostředků, mohly by být ohroženy i samotné služby prostředků.

Ve spravované doméně nemáte oprávnění správce domény. V důsledku toho není možné ve spravované doméně nakonfigurovat tradiční KCD založené na účtech. Místo toho lze použít KCD založené na prostředcích, které je také bezpečnější.

KCD založené na prostředcích

Windows Server 2012 a novější poskytuje správcům služeb možnost konfigurovat omezené delegování pro svou službu. Tento model se označuje jako KCD vycházející z prostředků. Díky tomuto přístupu může správce back-endových služeb povolit nebo odepřít konkrétní front-endové služby v používání KCD.

KCD orientované na prostředky se konfiguruje pomocí PowerShellu. Používáte rutiny Set-ADComputer nebo Set-ADUser v závislosti na tom, zda je zosobňující účet účtem počítače, uživatelským účtem nebo účtem služby.

Konfigurace KCD založeného na prostředcích pro účet počítače

V tomto scénáři předpokládejme, že máte webovou aplikaci, která běží na počítači s názvem contoso-webapp.aaddscontoso.com.

Webová aplikace potřebuje přístup k webovému rozhraní API, které běží na počítači s názvem contoso-api.aaddscontoso.com v kontextu uživatelů domény.

Provedením následujících kroků nakonfigurujte tento scénář:

  1. Vytvořte vlastní organizační jednotku. Oprávnění ke správě této vlastní organizační jednotky můžete delegovat uživatelům ve spravované doméně.

  2. Připojte virtuální počítače, jak ten, který spouští webovou aplikaci, tak ten, který spouští webové API, ke spravované doméně. Vytvořte tyto účty počítačů ve vlastní organizační jednotce z předchozího kroku.

    Poznámka

    Účty počítačů pro webovou aplikaci a webové API musí být ve vlastní organizační jednotce, v rámci které máte oprávnění ke konfiguraci zdrojově založeného KCD. Nemůžete nakonfigurovat KCD založené na prostředcích pro účet počítače ve vestavěném kontejneru Microsoft Entra DC Computers.

  3. Nakonec nakonfigurujte KCD založené na prostředcích pomocí cmdletu PowerShellu Set-ADComputer.

    Z vaší správcovské VM připojené k doméně a přihlášením jako uživatelský účet, který je členem skupiny administrátorů řadiče domény Microsoft Entra, spusťte následující příkazy. Podle potřeby zadejte vlastní názvy počítačů:

    $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
    Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
    

Konfigurace KCD založeného na prostředcích pro uživatelský účet

V tomto scénáři předpokládejme, že máte webovou aplikaci, která běží jako účet služby s názvem appsvc. Webová aplikace potřebuje přístup k webovému rozhraní API, které běží jako účet služby s názvem back-endsvc v kontextu uživatelů domény. Provedením následujících kroků nakonfigurujte tento scénář:

  1. Vytvořte vlastníorganizační jednotku. Oprávnění ke správě této vlastní organizační jednotky můžete delegovat uživatelům ve spravované doméně.

  2. Připojte virtuální počítače, které provozují back-endové webové API nebo zdroj, ke spravované doméně. Vytvořte jeho účet počítače v rámci vlastní organizační jednotky.

  3. Vytvořte účet služby (například appsvc) použitý ke spuštění webové aplikace ve vlastní organizační jednotce.

    Poznámka

    Účet počítače pro virtuální počítač (VM) s webovým rozhraním API a účet služby pro webovou aplikaci musí být znovu ve vlastní organizační jednotce, kde máte oprávnění ke konfiguraci KCD založeného na prostředcích. KCD založené na prostředcích nemůžete konfigurovat pro účty v integrovaném kontejneru Microsoft Entra DC Computers nebo Microsoft Entra DC Users. To také znamená, že k nastavení KCD založeného na prostředcích nemůžete používat uživatelské účty synchronizované z ID Microsoft Entra. Musíte vytvořit a používat účty služeb vytvořené speciálně ve službě Domain Services.

  4. Nakonec nakonfigurujte KCD založené na prostředcích pomocí rutiny Set-ADUser PowerShellu.

    Z virtuálního počítače pro správu připojeného k doméně a přihlášeni pomocí uživatelského účtu, který je členem skupiny správci řadiče domény Microsoft Entra, spusťte následující příkazové rutiny. Podle potřeby zadejte vlastní názvy služeb:

    $ImpersonatingAccount = Get-ADUser -Identity appsvc
    Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
    

Další kroky

Další informace o fungování delegování ve službě Active Directory Domain Services najdete v tématu Přehled omezeného delegování protokolu Kerberos.