Vorgehensweise: Implementieren der Kerberos-Delegierung unter Windows 2000

Auf dieser Seite

 Zielsetzung
 Betrifft
 Verwendung dieses Moduls
 Zusammenfassung
 Benötigte Kenntnisse
 Sicherstellen, dass das Clientkonto für die Delegierung konfiguriert ist
 Sicherstellen, dass dem Prozesskonto des Servers zu Delegierungszwecken vertraut wird
 Weitere Ressourcen

Zielsetzung

Themenbereiche:

• Konfigurieren eines Benutzerkontos zur Unterstützung der Delegierung

• Konfigurieren des Kontos zur Ausführung eines Serverprozesses, der die Delegierung unterstützt

 

Betrifft

• Windows 2000 Server (mit Service Pack 3) und höhere Betriebssysteme

• Verzeichnisdienst Microsoft Active Directory®

 

Verwendung dieses Moduls

Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul:

• Sie müssen über eine Windows-Domäne verfügen, die Active Directory verwendet.

• Sie müssen Erfahrung in der Verwaltung der Active Directory mit den Windows-Verwaltungsprogrammen haben.

• Lesen Sie Modul 3, "Authentifizierung und Autorisierung", in dem die Identitätsübertragung erörtert und das Konzept der Delegierung in Bezug auf verteilte Webanwendungen eingeführt wird.

 

Zusammenfassung

Standardmäßig verwendet das Betriebssystem Microsoft Windows 2000 das Kerberos-Protokoll für die Authentifizierung. In diesem Modul wird die Konfiguration der Kerberos-Delegierung beschrieben. Dieses leistungsfähigen Feature ermöglicht dem Server, bei Übernahme der Identität eines Clients anstelle des Clients auf Remoteressourcen zuzugreifen.

 

Benötigte Kenntnisse

Die Delegierung ist eine leistungsfähige Funktion, die unter Windows 2000 keinerlei Beschränkungen unterliegt. Sie sollte daher mit großer Vorsicht eingesetzt werden. Bei Computern, die für die Unterstützung der Delegierung konfiguriert sind, sollte der Zugriff permanent überwacht werden, um einen Missbrauch der Funktion zu verhindern. Für Windows .NET Server ist eine eingeschränkte Delegierungsfunktion vorgesehen.

Wenn der Server die Identität eines Clients annimmt, erzeugt die Kerberos-Authentifizierung ein Token auf der Delegierungsebene (das in der Lage ist, auf Netzwerk-Authentifizierungsanforderungen von Remotecomputern zu antworten), sofern die folgenden Voraussetzungen erfüllt sind:

1. Das Clientkonto, dessen Identität der Server annimmt, ist nicht als vertraulich gekennzeichnet und kann in der Active Directory nicht delegiert werden.

2. Dem Prozesskonto des Servers (d. h. dem Benutzerkonto, unter dem der Serverprozess ausgeführt wird, oder dem Computerkonto, wenn der Prozess unter dem lokalen Konto SYSTEM ausgeführt wird) wird in der Active Directory zu Delegierungszwecken vertraut.

Hinweise

• Damit die Kerberos-Delegierung erfolgreich durchgeführt werden kann, müssen sich alle Computer (Clients und Server) in einer gemeinsamen Active Directory-Gesamtstruktur befinden.

• Wenn der Identitätswechsel innerhalb von Serviced Components erfolgt und Sie den Aufruferkontext über eine Enterprise Services-Anwendung weitergeben möchten, muss der Anwendungsserver, der als Host für Enterprise Services dient, über Hotfix Rollup 18.1 oder höher verfügen.
  Weitere Informationen finden Sie unter "INFO: Verfügbarkeit des Windows 2000 Post-Service Pack 2 COM+ Hotfix Rollup Package 18.1".

 

Sicherstellen, dass das Clientkonto für die Delegierung konfiguriert ist

Mit diesem Verfahren können Sie sich vergewissern, dass das Clientkonto delegiert werden kann.

• So vergewissern Sie sich, dass das Clientkonto für die Delegierung konfiguriert ist

  1. Melden Sie sich über ein Administratorkonto am Domänencontroller an.

  2. Klicken Sie auf der Taskleiste auf Start , zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie anschließend auf Active Directory-Benutzer und -Computer.

  3. Klicken Sie in Ihrer Domäne auf den Ordner Benutzer.

  4. Klicken Sie mit der rechten Maustaste auf das zu delegierende Benutzerkonto und dann auf Eigenschaften.

  5. Klicken Sie auf die Registerkarte Konto.

  6. Vergewissern Sie sich in der Liste Kontooptionen, dass die Option Konto ist vertraulich und kann nicht delegiert werden deaktiviert ist.

  7. Klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen.

 

Sicherstellen, dass dem Prozesskonto des Servers zu Delegierungszwecken vertraut wird

Mit diesem Verfahren wird geprüft, dass es dem Konto, das zum Ausführen des Serverprozesses verwendet wird (d. h. dem Konto, das den Identitätswechsel durchführt), gestattet ist, Clientkonten zu delegieren. Sie müssen das Benutzerkonto konfigurieren, unter dem der Serverprozess ausgeführt wird. Wenn der Prozess unter dem lokalen Konto SYSTEM ausgeführt wird, müssen Sie das Computerkonto konfigurieren. Führen Sie das jeweils zutreffende Verfahren durch, und zwar abhängig davon, ob der Serverprozess unter einem Windows-Benutzerkonto oder unter einem lokalen SYSTEM-Konto ausgeführt wird.

• So vergewissern Sie sich, dass dem Prozesskonto des Servers zu Delegierungszwecken vertraut wird, wenn der Serverprozess unter einem Windows-Benutzerkonto ausgeführt wird

  1. Klicken Sie im Ordner Benutzer von Active Directory-Benutzer und -Computer mit der rechten Maustaste auf das Benutzerkonto, das für das Ausführen des Serverprozesses verwendet wird, der die Identität des Clients annimmt. Klicken Sie dann auf Eigenschaften.

  2. Klicken Sie auf die Registerkarte Konto.

  3. Klicken Sie in der Liste Kontooptionen auf Konto wird für Delegierungszwecke vertraut.

• So vergewissern Sie sich, dass dem Prozesskonto des Servers zu Delegierungszwecken vertraut wird, wenn der Serverprozess unter dem lokalen Konto SYSTEM ausgeführt wird

  1. Klicken Sie in Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Ordner Computer und dann auf Eigenschaften.

  2. Klicken Sie mit der rechten Maustaste auf den Servercomputer (auf dem der Prozess, der die Identität des Clients annimmt, ausgeführt wird) und dann auf Eigenschaften.

  3. Klicken Sie auf der Seite Allgemein auf Computer für Delegierungszwecke vertrauen.

 

Weitere Ressourcen

• Eine Liste der Dateien, die von COM+ Hotfix Package 18.1 aus dem Windows 2000 Post-Service Pack 2 (SP2) betroffen sind, finden Sie im Artikel 313582, "INFO: Verfügbarkeit des Windows 2000 Post-Service Pack 2 COM+ Hotfix Rollup Package 18.1", der Microsoft Knowledge Base unter: https://support.microsoft.com/default.aspx?scid=kb;de;313582.

• Wenn Sie wissen möchten, wie ein vollständiges Delegierungsszenario konfiguriert wird, das ASP.NET, Enterprise Services und SQL Server einschließt, lesen Sie "Übermitteln des ursprünglichen Aufrufers an die Datenbank" in Modul 5, "Intranetsicherheit".