Konfigurasikan delegasi terbatas Kerberos (KCD) di Microsoft Entra Domain Services

Saat Anda menjalankan aplikasi, mungkin ada kebutuhan bagi aplikasi tersebut untuk mengakses sumber daya dalam konteks pengguna yang berbeda. Active Directory Domain Services (AD DS) mendukung mekanisme yang disebut delegasi Kerberos yang memungkinkan kasus penggunaan ini. Kerberos delegasi yang dibatasi (KCD) kemudian dibangun berdasarkan mekanisme ini untuk menentukan sumber daya tertentu yang dapat diakses dalam konteks pengguna.

Domain terkelola Microsoft Entra Domain Services dikunci dengan lebih aman daripada lingkungan AD DS lokal tradisional, jadi gunakan KCD berbasis sumber daya yang lebih aman.

Artikel ini memperlihatkan kepada Anda cara mengonfigurasi delegasi yang dibatasi Kerberos berbasis sumber daya di domain terkelola Domain Services.

Prasyarat

Untuk menyelesaikan artikel ini, Anda memerlukan sumber daya berikut:

• Langganan Azure aktif.
  • Jika Anda tidak memiliki langganan Azure, membuat akun.
• Penyewa Microsoft Entra yang terkait dengan langganan Anda, baik disinkronkan dengan direktori lokal atau direktori khusus cloud.
  • Jika diperlukan, membuat penyewa Microsoft Entra atau mengaitkan langganan Azure dengan akun Anda.
• Domain terkelola Microsoft Entra Domain Services diaktifkan dan dikonfigurasi di penyewa Microsoft Entra Anda.
  • Jika diperlukan, membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services.
• VM manajemen Windows Server yang bergabung ke domain terkelola Domain Services.
  • Jika diperlukan, selesaikan tutorial untuk membuat VM Windows Server dan menggabungkannya ke domain terkelola kemudian menginstal alat manajemen AD DS.
• Akun pengguna yang merupakan anggota grup administrator Microsoft Entra DC di penyewa Microsoft Entra Anda.

Gambaran umum delegasi terbatas Kerberos

Delegasi Kerberos memungkinkan satu akun meniru akun lain untuk mengakses sumber daya. Misalnya, aplikasi web yang mengakses komponen web back-end dapat meniru dirinya sebagai akun pengguna yang berbeda ketika membuat koneksi back-end. Delegasi Kerberos tidak aman karena tidak membatasi sumber daya apa yang dapat diakses akun peniru.

Kerberos delegasi yang dibatasi (KCD) membatasi layanan atau sumber daya yang dapat disambungkan oleh server atau aplikasi tertentu saat meniru identitas lain. KCD tradisional memerlukan hak istimewa administrator domain untuk mengonfigurasi akun domain untuk layanan, dan membatasi akun untuk dijalankan pada satu domain.

KCD tradisional juga memiliki beberapa masalah. Misalnya, dalam sistem operasi sebelumnya, administrator layanan tidak memiliki cara yang berguna untuk mengetahui layanan front-end mana yang didelegasikan ke layanan sumber daya yang mereka miliki. Setiap layanan front-end yang dapat mendelegasikan ke layanan sumber daya adalah titik serangan potensial. Jika server yang menghosting layanan front-end yang dikonfigurasi untuk mendelegasikan ke layanan sumber daya disusupi, layanan sumber daya juga dapat disusupi.

Di domain terkelola, Anda tidak memiliki hak istimewa administrator domain. Akibatnya, KCD berbasis akun tradisional tidak dapat dikonfigurasi di domain terkelola. Sebagai gantinya, KCD berbasis sumber daya dapat digunakan, yang juga lebih aman.

KCD berbasis sumber daya

Windows Server 2012 dan yang lebih baru memberi administrator layanan kemampuan untuk mengonfigurasi delegasi yang dibatasi untuk layanan mereka. Model ini dikenal sebagai KCD berbasis sumber daya. Dengan pendekatan ini, administrator layanan back-end dapat mengizinkan atau menolak layanan front-end tertentu dari menggunakan KCD.

KCD berbasis sumber daya dikonfigurasi menggunakan PowerShell. Anda menggunakan cmdlet Set-ADComputer atau Set-ADUser, tergantung pada apakah akun yang meniru adalah akun komputer atau akun pengguna/akun layanan.

Mengonfigurasi KCD berbasis sumber daya untuk akun komputer

Dalam skenario ini, mari kita asumsikan Anda memiliki aplikasi web yang berjalan di komputer bernama contoso-webapp.aaddscontoso.com.

Aplikasi web perlu mengakses API web yang berjalan di komputer bernama contoso-api.aaddscontoso.com dalam konteks pengguna domain.

Selesaikan langkah-langkah berikut untuk mengonfigurasi skenario ini:

1. Membuat unit organisasi kustom. Anda dapat mendelegasikan izin untuk mengelola unit organisasi kustom ini kepada pengguna dalam domain terkelola.

2. Menggabungkan ke domain mesin virtual, baik yang menjalankan aplikasi web maupun yang menjalankan API web, ke domain terkelola. Buat akun-akun komputer ini di unit organisasi (OU) kustom dari langkah sebelumnya.

   Nota

   Akun komputer untuk aplikasi web dan API web harus berada di unit organisasi kustom tempat Anda memiliki izin untuk mengonfigurasi KCD berbasis sumber daya. Anda tidak dapat mengonfigurasi KCD berbasis sumber daya untuk akun komputer di kontainer Microsoft Entra DC Computers bawaan.

3. Terakhir, konfigurasikan KCD berbasis sumber daya menggunakan cmdlet PowerShell Set-ADComputer.

   Dari VM manajemen yang bergabung dengan domain Anda dan masuk sebagai akun pengguna yang merupakan anggota administrator Microsoft Entra DC grup, jalankan cmdlet berikut. Berikan nama komputer Anda sendiri sesuai kebutuhan:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Mengonfigurasi KCD berbasis sumber daya untuk akun pengguna

Dalam skenario ini, mari kita asumsikan Anda memiliki aplikasi web yang berjalan sebagai akun layanan bernama appsvc. Aplikasi web perlu mengakses API web yang berjalan sebagai akun layanan bernama backendsvc dalam konteks pengguna domain. Selesaikan langkah-langkah berikut untuk mengonfigurasi skenario ini:

1. Membuat unit organisasi kustom. Anda dapat mendelegasikan izin untuk mengelola unit organisasi kustom ini kepada pengguna dalam domain terkelola.

2. Gabungkan mesin virtual yang menjalankan API atau sumber daya web backend ke dalam domain terkelola. Buat akun komputernya dalam unit organisasi kustom.

3. Buat akun layanan (misalnya, appsvc) yang digunakan untuk menjalankan aplikasi web dalam unit organisasi kustom.

   Nota

   Sekali lagi, akun komputer untuk VM API web, dan akun layanan untuk aplikasi web, harus berada di unit organisasi kustom tempat Anda memiliki izin untuk mengonfigurasi KCD berbasis sumber daya. Anda tidak dapat mengonfigurasi KCD berbasis sumber daya untuk akun dalam kontainer bawaan Komputer Microsoft Entra DC atau Pengguna Microsoft Entra DC. Ini juga berarti bahwa Anda tidak dapat menggunakan akun pengguna yang disinkronkan dari Microsoft Entra ID untuk menyiapkan KCD yang berbasis sumber daya. Anda harus membuat dan menggunakan akun layanan yang dibuat secara khusus di Domain Services.

4. Terakhir, konfigurasikan KCD berbasis sumber daya menggunakan cmdlet Set-ADUser PowerShell.

   Dari VM manajemen yang terhubung ke domain Anda, masuklah menggunakan akun pengguna yang menjadi anggota grup administrator Microsoft Entra DC, kemudian jalankan cmdlet berikut. Berikan nama layanan Anda sendiri sesuai kebutuhan:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Langkah berikutnya

Untuk mempelajari selengkapnya tentang cara kerja delegasi di Active Directory Domain Services, lihat Ringkasan Delegasi yang Dibatasi Kerberos.