Kerberos korlátozott delegálás (KCD) konfigurálása a Microsoft Entra Domain Servicesben
Alkalmazások futtatásakor előfordulhat, hogy ezeknek az alkalmazásoknak egy másik felhasználó környezetében kell hozzáférnie az erőforrásokhoz. Az Active Directory Domain Services (AD DS) támogatja a Kerberos-delegálási nevű mechanizmust, amely lehetővé teszi ezt a használati esetet. A Kerberos korlátozott delegálás (KCD) ezt a mechanizmust használja a felhasználó környezetében elérhető erőforrások meghatározásához.
A Microsoft Entra Domain Services által felügyelt tartományok biztonságosabban vannak zárolva, mint a hagyományos helyszíni AD DS-környezetek, ezért biztonságosabb erőforrás-alapú KCD-t használjon.
Ez a cikk bemutatja, hogyan konfigurálhatja az erőforrás-alapú Kerberos korlátozott delegálást egy felügyelt Domain Services-tartományban.
Előfeltételek
A cikk elvégzéséhez a következő erőforrásokra van szüksége:
- Aktív Azure-előfizetés.
- Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
- Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
- Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy társítsa egy Azure előfizetést a fiókjához.
- A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
- A Domain Services által felügyelt tartományhoz csatlakoztatott Windows Server felügyeleti virtuális gép.
- Ha szükséges, végezze el az oktatóanyagot, hozzon létre egy Windows Server rendszerű virtuális gépet, és csatlakozzon egy felügyelt tartományhoz majd telepítse az AD DS felügyeleti eszközeit.
- Olyan felhasználói fiók, amely a Microsoft Entra DC-rendszergazdák tagja, csoport tagja a Microsoft Entra-bérlőben.
Kerberos korlátozott delegálás áttekintése
A Kerberos-delegálás lehetővé teszi, hogy egy fiók megszemélyesíthessen egy másik fiókot az erőforrások eléréséhez. Egy háttérbeli webösszetevőt elérő webalkalmazás például más felhasználói fiókként megszemélyesítheti magát a háttérkapcsolat létrehozásakor. A Kerberos-delegálás nem biztonságos, mivel nem korlátozza a megszemélyesítő fiók által elérhető erőforrásokat.
A Kerberos korlátozott delegálása (KCD) korlátozza azokat a szolgáltatásokat vagy erőforrásokat, amelyekhez egy megadott kiszolgáló vagy alkalmazás csatlakozhat, amikor más identitást megszemélyesít. A hagyományos KCD tartományadminisztrátori jogosultságokat igényel egy szolgáltatás tartományi fiókjának konfigurálásához, és korlátozza a fiók egyetlen tartományon való futtatását.
A hagyományos KCD-nek is van néhány problémája. A korábbi operációs rendszerekben például a szolgáltatásadminisztrátornak nem volt hasznos módja annak, hogy megtudja, mely előtérbeli szolgáltatások delegálhatók a tulajdonában lévő erőforrás-szolgáltatásokhoz. Minden olyan előtér-szolgáltatás, amely delegálható egy erőforrás-szolgáltatásba, potenciális támadási pont volt. Ha egy, az erőforrás-szolgáltatásokhoz delegálásra konfigurált előtér-szolgáltatást futtató kiszolgáló sérült, az erőforrás-szolgáltatások is veszélybe kerülhetnek.
Felügyelt tartományban nincs tartományi rendszergazdai jogosultsága. Emiatt a hagyományos fiókalapú KCD nem konfigurálható felügyelt tartományban. Az erőforrás-alapú KCD ehelyett használható, ami szintén biztonságosabb.
Erőforrás-alapú KCD
A Windows Server 2012 és újabb verziók lehetővé teszi a szolgáltatás rendszergazdái számára, hogy korlátozott delegálást konfiguráljanak a szolgáltatásukhoz. Ezt a modellt erőforrás-alapú KCD-nek nevezzük. Ezzel a módszerrel a háttérszolgáltatás rendszergazdája engedélyezheti vagy letilthatja bizonyos előtér-szolgáltatásokat a KCD használatából.
Az erőforrás-alapú KCD a PowerShell használatával van konfigurálva. A Set-ADComputer vagy Set-ADUser parancsmagokat használja attól függően, hogy a megszemélyesítő fiók számítógépfiók vagy felhasználói fiók/szolgáltatásfiók.
Erőforrás-alapú KCD konfigurálása számítógépfiókhoz
Ebben a forgatókönyvben tegyük fel, hogy rendelkezik egy webalkalmazással, amely a contoso-webapp.aaddscontoso.comnevű számítógépen fut.
A webalkalmazásnak hozzá kell férnie egy olyan webes API-hoz, amely a tartományfelhasználók környezetében contoso-api.aaddscontoso.com nevű számítógépen fut.
A forgatókönyv konfigurálásához hajtsa végre a következő lépéseket:
Egyéni OU létrehozása. Az egyéni szervezeti egység kezeléséhez szükséges engedélyeket a felügyelt tartomány felhasználóinak delegálhatja.
Csatlakoztassa a virtuális gépeket, mind a webalkalmazást futtató, mind a webes API-t futtató gépeket a felügyelt tartományhoz. Ezeket a számítógépfiókokat az előző lépésben létrehozott egyéni szervezeti egységben hozhatja létre.
Jegyzet
A webalkalmazás és a webes API számítógépfiókjainak egyéni szervezeti egységben kell lenniük, ahol rendelkezik erőforrás-alapú KCD konfigurálásához szükséges engedélyekkel. Nem konfigurálhat erőforrásalapú KCD-t egy számítógépfiókhoz a Microsoft Entra DC Computers beépített tárolóban.
Végül konfigurálja az erőforrás-alapú KCD-t a Set-ADComputer PowerShell-parancsmaggal.
A tartományhoz csatlakoztatott felügyeleti virtuális gépen jelentkezzen be olyan felhasználói fiókkal, amely a Microsoft Entra DC-rendszergazdák csoport tagja, majd futtassa a következő parancsmagokat. Szükség szerint adja meg a saját számítógépneveit:
$ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
Erőforrás-alapú KCD konfigurálása felhasználói fiókhoz
Ebben a forgatókönyvben tegyük fel, hogy appsvcnevű szolgáltatásfiókként futó webalkalmazással rendelkezik. A webalkalmazásnak hozzá kell férnie egy backendsvc nevű szolgáltatásfiókként futó webes API-hoz a tartományi felhasználók kontextusában. A forgatókönyv konfigurálásához hajtsa végre a következő lépéseket:
Hozzon létre egyéni szervezeti egységet. Az egyéni szervezeti egység kezeléséhez szükséges engedélyeket a felügyelt tartomány felhasználóinak delegálhatja.
Tartományba kell csatlakoztatni a felügyelt tartományban lévő, a háttérben webes API-t/erőforrást futtató virtuális gépeket. Hozza létre a számítógépes fiókját a testreszabott szervezeti egységen belül.
Hozza létre a webalkalmazás egyéni szervezeti egységen belüli futtatásához használt szolgáltatásfiókot (például appsvc).
Jegyzet
A webes API virtuális gép számítógépfiókjának és a webalkalmazás szolgáltatásfiókjának szintén egyéni szervezeti egységben kell lennie, ahol rendelkezik erőforrás-alapú KCD konfigurálásához szükséges engedélyekkel. Nem konfigurálhat erőforrás-alapú KCD-t a Microsoft Entra DC-számítógépek beépített vagy Microsoft Entra DC-felhasználók tárolókban lévő fiókokhoz. Ez azt is jelenti, hogy nem használhatja a Microsoft Entra-azonosítóból szinkronizált felhasználói fiókokat az erőforrás-alapú KCD beállításához. Kifejezetten a Domain Servicesben létrehozott szolgáltatásfiókokat kell létrehoznia és használnia.
Végül konfigurálja az erőforrás-alapú KCD-t a Set-ADUser PowerShell-parancsmaggal.
Jelentkezzen be a tartományhoz csatlakoztatott felügyeleti virtuális gépén olyan felhasználói fiókkal, amely a Microsoft Entra DC-rendszergazdák csoport tagja, majd futtassa a következő parancsmagokat. Szükség szerint adja meg saját szolgáltatásneveit:
$ImpersonatingAccount = Get-ADUser -Identity appsvc Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
Következő lépések
Ha többet szeretne megtudni a delegálás működéséről az Active Directory Domain Servicesben, tekintse meg Kerberos korlátozott delegálásának áttekintése.