Configurar a delegação restrita de Kerberos (KCD) nos Serviços de Domínio do Microsoft Entra

À medida que você executa aplicativos, pode ser necessário que esses aplicativos acessem recursos no contexto de um usuário diferente. Os Serviços de Domínio Ative Directory (AD DS) dão suporte a um mecanismo chamado delegação Kerberos que habilita esse caso de uso. Kerberos delegação restrita de (KCD) se baseia nesse mecanismo para definir recursos específicos que podem ser acessados no contexto do usuário.

Os domínios geridos dos Serviços de Domínio Microsoft Entra são mais seguros do que os ambientes AD DS tradicionais no local, portanto, utilize um KCD baseado em recursos mais seguro.

Este artigo mostra como configurar a delegação restrita de Kerberos baseada em recursos em um domínio gerenciado pelos Serviços de Domínio.

Pré-requisitos

Para concluir este artigo, você precisa dos seguintes recursos:

• Uma assinatura ativa do Azure.
  • Se você não tiver uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Se necessário, criar um de locatário do Microsoft Entra ou associar uma assinatura do Azure à sua conta.
• Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
  • Se necessário, criar e configurar um domínio gerenciado pelos Serviços de Domínio Microsoft Entra.
• Uma VM de gestão do Windows Server, associada ao domínio gerido dos Serviços de Domínio.
  • Se necessário, conclua o tutorial para criar uma VM do Windows Server e associá-la a um domínio gerenciadoinstalar as ferramentas de gerenciamento do AD DS.
• Uma conta de usuário que seja membro do grupo administradores do Microsoft Entra DC em seu locatário do Microsoft Entra.

Visão geral da delegação restrita de Kerberos

A delegação Kerberos permite que uma conta se faça passar por outra para aceder a recursos. Por exemplo, uma aplicação web que acede a um componente web de back-end pode assumir a identidade de uma conta de utilizador diferente quando faz a ligação ao back-end. A delegação Kerberos é insegura, pois não limita os recursos que a conta que representa pode acessar.

Kerberos delegação condicionada (KCD) restringe os serviços ou recursos aos quais um servidor ou aplicação especificado pode conectar-se quando faz-se passar por outra identidade. O KCD tradicional requer privilégios de administrador de domínio para configurar uma conta de domínio para um serviço e restringe a execução da conta em um único domínio.

O KCD tradicional também tem alguns problemas. Por exemplo, em sistemas operativos anteriores, o administrador de serviços não tinha nenhuma forma útil de saber a quais serviços de recursos os serviços front-end, de que eram proprietários, estavam delegados. Qualquer serviço front-end que pudesse delegar a um serviço de recursos era um ponto de ataque potencial. Se um servidor que hospedava um serviço front-end configurado para delegar a serviços de recursos fosse comprometido, os serviços de recursos também poderiam ser comprometidos.

Em um domínio gerenciado, você não tem privilégios de administrador de domínio. Como resultado, o KCD tradicional baseado em conta não pode ser configurado em um domínio gerenciado. Em vez disso, o KCD baseado em recursos pode ser usado, o que também é mais seguro.

KCD baseado em recursos

O Windows Server 2012 e versões posteriores dão aos administradores de serviço a capacidade de configurar a delegação restrita para seus serviços. Este modelo é conhecido como KCD baseado em recursos. Com essa abordagem, o administrador de serviço back-end pode permitir ou negar que serviços front-end específicos usem o KCD.

O KCD baseado em recursos é configurado usando o PowerShell. Use o cmdlet Set-ADComputer ou o cmdlet Set-ADUser, dependendo de se a conta que está a representar é uma conta de computador ou uma conta de utilizador ou de serviço.

Configurar o KCD baseado em recursos para uma conta de computador

Nesse cenário, vamos supor que você tenha um aplicativo Web executado no computador chamado contoso-webapp.aaddscontoso.com.

A aplicação web precisa acessar uma API web executada no computador chamado contoso-api.aaddscontoso.com no contexto dos utilizadores do domínio.

Conclua as seguintes etapas para configurar esse cenário:

1. Criar uma UO personalizada. Você pode delegar permissões para gerenciar essa UO personalizada a usuários dentro do domínio gerenciado.

2. Associar as máquinas virtuais, tanto a que executa a aplicação web como a que executa a API web, no domínio gerido. Crie estas contas de computador na UO personalizada mencionada no passo anterior.

   Observação

   As contas de computador para a aplicação web e a API web devem estar numa UO personalizada onde tenha permissões para configurar o KCD baseado em recursos. Não é possível configurar o KCD baseado em recursos para uma conta de computador no contêiner interno Microsoft Entra DC Computers.

3. Por fim, configure o KCD com base em recursos usando o cmdlet Set-ADComputer do PowerShell.

   A partir da VM de gestão associada ao domínio e conectada com uma conta de utilizador que é membro do grupo de administradores do Microsoft Entra DC , execute os cmdlets a seguir. Forneça seus próprios nomes de computador conforme necessário:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Configurar o KCD baseado em recursos para uma conta de usuário

Nesse cenário, vamos supor que você tenha um aplicativo Web executado como uma conta de serviço chamada appsvc. A aplicação web precisa aceder a uma API web que é executada como uma conta de serviço chamada backendsvc no contexto de utilizadores de domínio. Conclua as seguintes etapas para configurar esse cenário:

1. Criar uma UO personalizada. Você pode delegar permissões para gerenciar essa UO personalizada a usuários dentro do domínio gerenciado.

2. Junte as máquinas virtuais que executam a API/recurso web de back-end ao domínio gerido. Crie sua conta de computador dentro da UO personalizada.

3. Crie a conta de serviço (por exemplo, appsvc) usada para executar a aplicação Web dentro da UO personalizada.

   Observação

   Novamente, a conta de computador para a VM da API Web e a conta de serviço para o aplicativo Web devem estar em uma UO personalizada onde você tenha permissões para configurar o KCD baseado em recursos. Não é possível configurar o KCD baseado em recursos para contas no interno Computadores DC do Microsoft Entra ou contêineres Usuários do Microsoft Entra DC. Isso também significa que você não pode usar contas de usuário sincronizadas do Microsoft Entra ID para configurar o KCD baseado em recursos. Você deve criar e usar contas de serviço criadas especificamente nos Serviços de Domínio.

4. Por fim, usando o cmdlet Set-ADUser do PowerShell, configure o KCD baseado em recursos.

   A partir da sua VM de gestão associada ao domínio e ao iniciar sessão com uma conta de utilizador que é membro do grupo de administradores do Microsoft Entra DC , execute os seguintes cmdlets. Forneça seus próprios nomes de serviço conforme necessário:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Próximos passos

Para saber mais sobre como a delegação funciona nos Serviços de Domínio Ative Directory, consulte Visão geral da delegação restrita de Kerberos.