Configurare Kerberos delega vincolata (KCD) nei servizi di dominio Microsoft Entra

Durante l'esecuzione delle applicazioni, potrebbe essere necessario che tali applicazioni accingano alle risorse nel contesto di un utente diverso. Active Directory Domain Services (AD DS) supporta un meccanismo denominato delega Kerberos che abilita questo caso d'uso. Kerberos delega vincolata (KCD) si basa su questo meccanismo per definire risorse specifiche a cui è possibile accedere nel contesto dell'utente.

I domini gestiti di Servizi di dominio Microsoft Entra sono più protetti rispetto agli ambienti di Active Directory Domain Services locali tradizionali, quindi usare un più sicuro KCD basato sulle risorse.

Questo articolo illustra come configurare la delega vincolata Kerberos basata su risorse in un dominio gestito di Servizi di dominio.

Prerequisiti

Per completare questo articolo, sono necessarie le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non hai un abbonamento Azure, crea un account.
• Un tenant di Microsoft Entra associato al tuo abbonamento, sincronizzato con una directory on-premise o una directory solo cloud.
  • Se necessario, crea un tenant di Microsoft Entra o associa una sottoscrizione di Azure al tuo account.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, creare e configurare un dominio gestito di Microsoft Entra Domain Services.
• Macchina virtuale di gestione di Windows Server collegata al dominio gestito da Servizi di dominio.
  • Se necessario, completare l'esercitazione per creare una macchina virtuale Windows Server e aggiungerla a un dominio gestito quindi installare gli strumenti di gestione di Active Directory Domain Services.
• Un account utente membro dell'amministratori di Microsoft Entra DC gruppo nel tenant di Microsoft Entra.

Panoramica della delega vincolata Kerberos

La delega Kerberos consente a un account di rappresentare un altro account per accedere alle risorse. Ad esempio, un'applicazione Web che accede a un componente Web back-end può rappresentare se stessa come un account utente diverso quando effettua la connessione back-end. La delega Kerberos non è sicura perché non limita le risorse a cui l'account impersonato può accedere.

Kerberos delega vincolata (KCD) limita a quali servizi o risorse un server o un'applicazione specificata possa connettersi quando impersona un'altra identità. KCD tradizionale richiede privilegi di amministratore di dominio per configurare un account di dominio come account di servizio e limita l'account all'esecuzione su un singolo dominio.

La KCD tradizionale presenta anche alcuni problemi. Ad esempio, nei sistemi operativi precedenti, l'amministratore del servizio non aveva un modo utile per sapere quali servizi front-end erano delegati ai servizi risorse di sua proprietà. Qualsiasi servizio front-end che potrebbe delegare a un servizio risorse era un potenziale punto di attacco. Se un server che ospita un servizio front-end configurato per delegare ai servizi risorse è stato compromesso, i servizi delle risorse potrebbero anche essere compromessi.

In un dominio gestito non si hanno privilegi di amministratore di dominio. Di conseguenza, la Delega Vincolata Kerberos basata su account tradizionali non è configurabile in un dominio gestito. Si può utilizzare invece la KCD basata sulle risorse, che è anche più sicura.

Delega vincolata di Kerberos basata sulle risorse

Windows Server 2012 e versioni successive offre agli amministratori del servizio la possibilità di configurare la delega vincolata per il servizio. Questo modello è noto come KCD basato sulle risorse. Con questo approccio, l'amministratore del servizio back-end può consentire o negare a specifici servizi front-end l'uso della Delega vincolata Kerberos.

La Delegazione Vincolata Kerberos a base di risorse viene configurata mediante PowerShell. Si usano i cmdlet Set-ADComputer o Set-ADUser, a seconda che l'account di rappresentazione sia un account di computer o un account utente o di servizio.

Configurare la delega vincolata Kerberos basata su risorse per un account del computer

In questo scenario si supponga di avere un'app Web in esecuzione nel computer denominato contoso-webapp.aaddscontoso.com.

L'app Web deve accedere a un'API Web eseguita nel computer denominato contoso-api.aaddscontoso.com nel contesto degli utenti di dominio.

Completare i passaggi seguenti per configurare questo scenario:

1. Creare un'unità organizzativa personalizzata. È possibile delegare le autorizzazioni per gestire questa unità organizzativa personalizzata agli utenti all'interno del dominio gestito.

2. aggiungere le macchine virtuali, sia quella che esegue l'app Web, sia quella che esegue l'API Web, al dominio gestito. Creare questi account computer nell'unità organizzativa personalizzata del passaggio precedente.

   Nota

   Gli account computer per l'app Web e l'API Web devono trovarsi in un'unità organizzativa personalizzata in cui si dispongono delle autorizzazioni per configurare il KCD basato su risorse. Non è possibile configurare la Delega vincolata Kerberos basata su risorse per un account computer nel contenitore predefinito Computer Microsoft Entra DC.

3. Configurare infine KCD basato sulle risorse usando il cmdlet di PowerShell Set-ADComputer.

   Dalla macchina virtuale di gestione aggiunta a un dominio ed essendo connessa come account utente membro del gruppo amministratori di Microsoft Entra DC, esegui i cmdlet seguenti. Specificare i nomi dei computer in base alle esigenze:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Configurare KCD basato su risorse per un account utente

In questo scenario, si supponga che tu abbia un'app Web eseguita come un account di servizio denominato appsvc. L'app Web deve accedere a un'API Web eseguita come account del servizio denominato back-endsvc nel contesto degli utenti di dominio. Completare i passaggi seguenti per configurare questo scenario:

1. Creare un'unità organizzativa personalizzata. È possibile delegare le autorizzazioni per gestire questa unità organizzativa personalizzata agli utenti all'interno del dominio gestito.

2. aggiungere le macchine virtuali che eseguono l'API Web e/o la risorsa back-end al dominio gestito. Creare il proprio account computer all'interno dell'unità organizzativa personalizzata.

3. Creare l'account del servizio (ad esempio, appsvc) usato per eseguire la web app all'interno dell'unità organizzativa personalizzata.

   Nota

   Anche in questo caso, l'account computer per la macchina virtuale dell'API Web e l'account del servizio per l'app Web devono trovarsi in un'unità organizzativa personalizzata in cui si dispone delle autorizzazioni per configurare la delega Kerberos vincolata alle risorse. Non è possibile configurare KCD basato sulle risorse per gli account nei contenitori integrati Microsoft Entra DC Computers o Microsoft Entra DC Users. Ciò significa anche che non è possibile usare gli account utente sincronizzati da Microsoft Entra ID per configurare la delega vincolata Kerberos basata su risorse. È necessario creare e usare account di servizio creati in modo specifico in Servizi di dominio.

4. Configurare infine KCD basato sulle risorse usando il cmdlet di PowerShell Set-ADUser.

   Dalla macchina virtuale di gestione aggiunta a un dominio e connessa come un account utente membro del gruppo amministratori di Microsoft Entra DC, esegui i cmdlet seguenti. Specificare i propri nomi di servizio in base alle esigenze:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Passaggi successivi

Per altre informazioni sul funzionamento della delega in Servizi di dominio Active Directory, vedere Panoramica della delega vincolata Kerberos.