Kerberos Constrained Delegation Overview
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
En este tema de introducción para profesionales de TI se describen nuevas funcionalidades para la delegación restringida de Kerberos en Windows Server 2012 R2 y Windows Server 2012.
Descripción de la característica
La delegación limitada de Kerberos se presentó en Windows Server 2003 y proporcionaba una forma de delegación más segura que podían usar los servicios. Cuando se configura, restringe los servicios en los que puede actuar un servidor determinado en nombre de un usuario. Para esto se requieren privilegios de administrador de dominio para configurar una cuenta de dominio para un servicio y se restringe la cuenta a un único dominio. En las empresas actuales, los servicios front-end no están diseñados para limitarse a la integración con servicios exclusivamente en su dominio.
En versiones anteriores del sistema operativo en los que el administrador de dominio configuraba el servicio, el administrador de servicios no tenía ninguna manera útil saber qué servicios de front-end delegaban en los servicios de recurso que poseían. Además, cualquier servicio de front-end que podía delegar en un servicio de recursos representaba un punto de ataque potencial. Si un servidor que hospedaba un servicio de front-end estaba en peligro y configurado para delegar en servicios de recursos, estos también podrían estar en peligro.
En Windows Server 2012 R2 y Windows Server 2012, se ha transferido la funcionalidad de configurar la delegación restringida del servicio desde el administrador del dominio hasta el administrador de servicios. De esta manera, el administrador del servicio de back-end puede permitir o denegar servicios de front-end.
Para obtener información detallada sobre la delegación limitada según se presentó en Windows Server 2003, consulte el tema sobre la delegación limitada y la transición de protocolo de Kerberos.
La implementación de Windows Server 2012 R2 y Windows Server 2012 del protocolo Kerberos incluye extensiones específicamente para la delegación restringida. S4U2Proxy (del inglés Service for User to Proxy) permite que un servicio use su vale de servicio de Kerberos para que un usuario obtenga un vale de servicio del Centro de distribución de claves (KDC) para el servicio back-end. Estas extensiones permiten que la delegación limitada se configure en la cuenta del servicio back-end, que puede estar en otro dominio. Para obtener más información acerca de estas extensiones, consulte el tema de MS-SFU sobre las extensiones de protocolo de Kerberos: especificación del protocolo de delegación limitada y de servicio para el usuario en la MSDN Library.
Aplicaciones prácticas
La delegación limitada le proporciona a los administradores de servicios la capacidad de especificar y exigir límites de confianza de aplicaciones limitando el ámbito en el que los servicios de aplicación pueden actuar en nombre de un usuario. Los administradores de servicio pueden configurar qué cuentas de servicio front-end pueden delegar a sus servicios back-end.
Admitiendo la delegación limitada en diferentes dominios en Windows Server 2012 R2 y Windows Server 2012, los servicios front-end como servidor de Microsoft Internet Security and Acceleration (ISA), Microsoft Forefront Threat Management Gateway, Microsoft Exchange Outlook Web Access (OWA) y Microsoft SharePoint Server pueden configurarse para usar la delegación limitada para autenticar servidores en otros dominios. Esto proporciona compatibilidad con soluciones de servicios entre dominios mediante una infraestructura de Kerberos existente. La delegación limitada de Kerberos puede ser administrada por administradores de dominio o administradores de servicios.
Delegación limitada basada en recursos entre dominios
La delegación limitada de Kerberos se puede usar para proporcionar delegación limitada cuando los servicios de recurso y el servicio front-end no se encuentran en el mismo dominio. Los administradores de servicio pueden configurar la nueva delegación especificando las cuentas de dominio de los servicios front-end que pueden suplantar a los usuarios en los objetos de cuenta de los servicios de recurso.
¿Qué valor aporta este cambio?
Admitiendo la delegación limitada entre dominios, los servicios pueden configurarse para usar la delegación limitada para autenticar servidores de otros dominios en lugar de usar la delegación sin restricciones. Esto proporciona compatibilidad para la autenticación para soluciones de servicio entre dominios mediante el uso de una infraestructura de Kerberos existente sin necesidad de confiar en servicios front-end para delegar a cualquier servicio.
Esto también cambia la decisión de si un servidor debe confiar en el origen de una identidad delegada del administrador de dominio que delega al propietario del recurso.
¿Qué funciona de manera diferente?
Un cambio en el protocolo subyacente permite la delegación limitada entre dominios. La implementación de Windows Server 2012 R2 y Windows Server 2012 del protocolo de Kerberos incluye extensiones al protocolo R2 (Service for User to Proxy). Este es un conjunto de extensiones al protocolo de Kerberos que permite que un servicio use su vale de servicio de Kerberos para que un usuario obtenga un vale de servicio del Centro de distribución de claves (KDC) para un servicio back-end.
Para obtener información de implementación acerca de estas extensiones, consulte el tema de MS-SFU sobre las extensiones de protocolo de Kerberos: especificación del protocolo de delegación limitada y de servicio para el usuario en MSDN.
Para obtener más información acerca de la secuencia de mensajes básica para la delegación de Kerberos con un vale de concesión de vales (TGT) remitido según se compara con las extensiones de servicio para el usuario (S4U) consulte la sección 1.3.3 de introducción al protocolo en el tema [MS-SFU]: Extensiones del protocolo Kerberos: especificación del protocolo de delegación limitada y de servicio para el usuario.
Implicaciones de seguridad de la delegación restringida basada en recursos
La delegación restringida basada en recursos coloca el control de la delegación en manos del administrador que posee el recurso al que se accede. Depende de los atributos del servicio de recursos en lugar del servicio en el que se confía para delegar. Como resultado, la delegación restringida basada en recursos no puede usar el bit Trusted-to-Authenticate-for-Delegation que anteriormente controlaba la transición del protocolo. El KDC siempre permite la transición de protocolo al realizar la delegación restringida basada en recursos como si se hubiera establecido el bit.
Dado que el KDC no limita la transición de protocolo, se introdujeron dos nuevos SID conocidos para dar este control al administrador de recursos. Estos SID identifican si se ha producido la transición de protocolo y se pueden usar con listas de control de acceso estándar para conceder o limitar el acceso según sea necesario.
| SID | Descripción |
|---|---|
| AUTHENTICATION_AUTHORITY_ASSERTED_IDENTITY S-1-18-1 |
Un SID que significa que la identidad del cliente se afirma mediante una entidad de autenticación basada en la prueba de posesión de las credenciales de cliente. |
| SERVICE_ASSERTED_IDENTITY S-1-18-2 |
Un SID que significa que un servicio afirma la identidad del cliente. |
Un servicio back-end puede usar expresiones de ACL estándar para determinar cómo se autenticó el usuario.
¿Cómo se configura la delegación restringida basada en recursos?
Para configurar un servicio de recurso para que permita que un servicio front-end obtenga acceso en nombre de los usuarios, use cmdlets de Windows PowerShell.
Para recuperar una lista de entidades de seguridad, use los cmdlets Get-ADComputer, Get-ADServiceAccounty Get-ADUser con el parámetro Properties PrincipalsAllowedToDelegateToAccount.
Para configurar el servicio de recurso, use los cmdlets New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccounty Set-ADUser con el parámetro PrincipalsAllowedToDelegateToAccount.
Requisitos de software
La delegación restringida basada en recursos solamente puede configurarse en un controlador de dominio que ejecuta Windows Server 2012 R2 y Windows Server 2012, pero puede aplicarse dentro de un bosque de modo mixto.
Puede aplicar la siguiente revisión a todos los controladores de dominio que ejecutan Windows Server 2012 en dominios de cuenta de usuario en rutas de referencia entre los dominios front-end y back-end que están ejecutando sistemas operativos anteriores a Windows Server: un error en KDC_ERR_POLICY de delegación limitada basada en recursos en entornos que tienen controladores de dominio basados Windows Server 2008 R2 (https://support.microsoft.com/en-gb/help/2665790/resource-based-constrained-delegation-kdc-err-policy-failure-in-enviro).