Kerberos korlátozott delegálás (KCD) konfigurálása a Microsoft Entra Domain Servicesben

Alkalmazások futtatásakor előfordulhat, hogy ezeknek az alkalmazásoknak egy másik felhasználó környezetében kell hozzáférnie az erőforrásokhoz. Az Active Directory Domain Services (AD DS) támogatja a Kerberos-delegálási nevű mechanizmust, amely lehetővé teszi ezt a használati esetet. A Kerberos korlátozott delegálás (KCD) ezt a mechanizmust használja a felhasználó környezetében elérhető erőforrások meghatározásához.

A Microsoft Entra Domain Services által felügyelt tartományok biztonságosabban vannak zárolva, mint a hagyományos helyszíni AD DS-környezetek, ezért biztonságosabb erőforrás-alapú KCD-t használjon.

Ez a cikk bemutatja, hogyan konfigurálhatja az erőforrás-alapú Kerberos korlátozott delegálást egy felügyelt Domain Services-tartományban.

Előfeltételek

A cikk elvégzéséhez a következő erőforrásokra van szüksége:

• Aktív Azure-előfizetés.
  • Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
• Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
  • Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy társítsa egy Azure előfizetést a fiókjához.
• A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
  • Ha szükséges, hozzon létre és konfiguráljon egy Microsoft Entra Domain Services által felügyelt tartományt.
• A Domain Services által felügyelt tartományhoz csatlakoztatott Windows Server felügyeleti virtuális gép.
  • Ha szükséges, végezze el az oktatóanyagot, hozzon létre egy Windows Server rendszerű virtuális gépet, és csatlakozzon egy felügyelt tartományhoz majd telepítse az AD DS felügyeleti eszközeit.
• Olyan felhasználói fiók, amely a Microsoft Entra DC-rendszergazdák tagja, csoport tagja a Microsoft Entra-bérlőben.

Kerberos korlátozott delegálás áttekintése

A Kerberos-delegálás lehetővé teszi, hogy egy fiók megszemélyesíthessen egy másik fiókot az erőforrások eléréséhez. Egy háttérbeli webösszetevőt elérő webalkalmazás például más felhasználói fiókként megszemélyesítheti magát a háttérkapcsolat létrehozásakor. A Kerberos-delegálás nem biztonságos, mivel nem korlátozza a megszemélyesítő fiók által elérhető erőforrásokat.

A Kerberos korlátozott delegálása (KCD) korlátozza azokat a szolgáltatásokat vagy erőforrásokat, amelyekhez egy megadott kiszolgáló vagy alkalmazás csatlakozhat, amikor más identitást megszemélyesít. A hagyományos KCD tartományadminisztrátori jogosultságokat igényel egy szolgáltatás tartományi fiókjának konfigurálásához, és korlátozza a fiók egyetlen tartományon való futtatását.

A hagyományos KCD-nek is van néhány problémája. A korábbi operációs rendszerekben például a szolgáltatásadminisztrátornak nem volt hasznos módja annak, hogy megtudja, mely előtérbeli szolgáltatások delegálhatók a tulajdonában lévő erőforrás-szolgáltatásokhoz. Minden olyan előtér-szolgáltatás, amely delegálható egy erőforrás-szolgáltatásba, potenciális támadási pont volt. Ha egy, az erőforrás-szolgáltatásokhoz delegálásra konfigurált előtér-szolgáltatást futtató kiszolgáló sérült, az erőforrás-szolgáltatások is veszélybe kerülhetnek.

Felügyelt tartományban nincs tartományi rendszergazdai jogosultsága. Emiatt a hagyományos fiókalapú KCD nem konfigurálható felügyelt tartományban. Az erőforrás-alapú KCD ehelyett használható, ami szintén biztonságosabb.

Erőforrás-alapú KCD

A Windows Server 2012 és újabb verziók lehetővé teszi a szolgáltatás rendszergazdái számára, hogy korlátozott delegálást konfiguráljanak a szolgáltatásukhoz. Ezt a modellt erőforrás-alapú KCD-nek nevezzük. Ezzel a módszerrel a háttérszolgáltatás rendszergazdája engedélyezheti vagy letilthatja bizonyos előtér-szolgáltatásokat a KCD használatából.

Az erőforrás-alapú KCD a PowerShell használatával van konfigurálva. A Set-ADComputer vagy Set-ADUser parancsmagokat használja attól függően, hogy a megszemélyesítő fiók számítógépfiók vagy felhasználói fiók/szolgáltatásfiók.

Erőforrás-alapú KCD konfigurálása számítógépfiókhoz

Ebben a forgatókönyvben tegyük fel, hogy rendelkezik egy webalkalmazással, amely a contoso-webapp.aaddscontoso.comnevű számítógépen fut.

A webalkalmazásnak hozzá kell férnie egy olyan webes API-hoz, amely a tartományfelhasználók környezetében contoso-api.aaddscontoso.com nevű számítógépen fut.

A forgatókönyv konfigurálásához hajtsa végre a következő lépéseket:

1. Egyéni OU létrehozása. Az egyéni szervezeti egység kezeléséhez szükséges engedélyeket a felügyelt tartomány felhasználóinak delegálhatja.

2. Csatlakoztassa a virtuális gépeket, mind a webalkalmazást futtató, mind a webes API-t futtató gépeket a felügyelt tartományhoz. Ezeket a számítógépfiókokat az előző lépésben létrehozott egyéni szervezeti egységben hozhatja létre.

   Jegyzet

   A webalkalmazás és a webes API számítógépfiókjainak egyéni szervezeti egységben kell lenniük, ahol rendelkezik erőforrás-alapú KCD konfigurálásához szükséges engedélyekkel. Nem konfigurálhat erőforrásalapú KCD-t egy számítógépfiókhoz a Microsoft Entra DC Computers beépített tárolóban.

3. Végül konfigurálja az erőforrás-alapú KCD-t a Set-ADComputer PowerShell-parancsmaggal.

   A tartományhoz csatlakoztatott felügyeleti virtuális gépen jelentkezzen be olyan felhasználói fiókkal, amely a Microsoft Entra DC-rendszergazdák csoport tagja, majd futtassa a következő parancsmagokat. Szükség szerint adja meg a saját számítógépneveit:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Erőforrás-alapú KCD konfigurálása felhasználói fiókhoz

Ebben a forgatókönyvben tegyük fel, hogy appsvcnevű szolgáltatásfiókként futó webalkalmazással rendelkezik. A webalkalmazásnak hozzá kell férnie egy backendsvc nevű szolgáltatásfiókként futó webes API-hoz a tartományi felhasználók kontextusában. A forgatókönyv konfigurálásához hajtsa végre a következő lépéseket:

1. Hozzon létre egyéni szervezeti egységet. Az egyéni szervezeti egység kezeléséhez szükséges engedélyeket a felügyelt tartomány felhasználóinak delegálhatja.

2. Tartományba kell csatlakoztatni a felügyelt tartományban lévő, a háttérben webes API-t/erőforrást futtató virtuális gépeket. Hozza létre a számítógépes fiókját a testreszabott szervezeti egységen belül.

3. Hozza létre a webalkalmazás egyéni szervezeti egységen belüli futtatásához használt szolgáltatásfiókot (például appsvc).

   Jegyzet

   A webes API virtuális gép számítógépfiókjának és a webalkalmazás szolgáltatásfiókjának szintén egyéni szervezeti egységben kell lennie, ahol rendelkezik erőforrás-alapú KCD konfigurálásához szükséges engedélyekkel. Nem konfigurálhat erőforrás-alapú KCD-t a Microsoft Entra DC-számítógépek beépített vagy Microsoft Entra DC-felhasználók tárolókban lévő fiókokhoz. Ez azt is jelenti, hogy nem használhatja a Microsoft Entra-azonosítóból szinkronizált felhasználói fiókokat az erőforrás-alapú KCD beállításához. Kifejezetten a Domain Servicesben létrehozott szolgáltatásfiókokat kell létrehoznia és használnia.

4. Végül konfigurálja az erőforrás-alapú KCD-t a Set-ADUser PowerShell-parancsmaggal.

   Jelentkezzen be a tartományhoz csatlakoztatott felügyeleti virtuális gépén olyan felhasználói fiókkal, amely a Microsoft Entra DC-rendszergazdák csoport tagja, majd futtassa a következő parancsmagokat. Szükség szerint adja meg saját szolgáltatásneveit:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Következő lépések

Ha többet szeretne megtudni a delegálás működéséről az Active Directory Domain Servicesben, tekintse meg Kerberos korlátozott delegálásának áttekintése.