Kerberos korlátozott delegálás (KCD) konfigurálása a Microsoft Entra Domain Servicesben
Alkalmazások futtatásakor előfordulhat, hogy ezeknek az alkalmazásoknak egy másik felhasználó környezetében kell hozzáférnie az erőforrásokhoz. Active Directory tartományi szolgáltatások (AD DS) támogatja a Kerberos-delegálás, amely engedélyezi ezt a használati esetet. A Kerberos által korlátozott delegálás (KCD) ezután erre a mechanizmusra épül, hogy meghatározzon a felhasználó környezetében elérhető konkrét erőforrásokat.
A Microsoft Entra Domain Services által felügyelt tartományok biztonságosabban vannak zárolva, mint a hagyományos helyszíni AD DS-környezetek, ezért biztonságosabb erőforrás-alapú KCD-t használjon.
Ez a cikk bemutatja, hogyan konfigurálhatja az erőforrás-alapú Kerberos korlátozott delegálást egy felügyelt Domain Services-tartományban.
Előfeltételek
A cikk elvégzéséhez a következő erőforrásokra van szüksége:
- Aktív Azure-előfizetés.
- Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
- Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
- Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy rendelje hozzá az Azure-előfizetést a fiókjához.
- A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
- A Domain Services által felügyelt tartományhoz csatlakoztatott Windows Server felügyeleti virtuális gép.
- Ha szükséges, végezze el az oktatóanyagot egy Windows Server rendszerű virtuális gép létrehozásához és felügyelt tartományhoz való csatlakoztatásához, majd telepítse az AD DS felügyeleti eszközeit.
- Egy felhasználói fiók, amely a Microsoft Entra DC rendszergazdák csoportjának tagja a Microsoft Entra-bérlőben.
Kerberos korlátozott delegálás áttekintése
A Kerberos-delegálás lehetővé teszi, hogy egy fiók megszemélyesíthessen egy másik fiókot az erőforrások eléréséhez. Egy háttérbeli webösszetevőt elérő webalkalmazás például más felhasználói fiókként megszemélyesítheti magát a háttérkapcsolat létrehozásakor. A Kerberos-delegálás nem biztonságos, mivel nem korlátozza a megszemélyesítő fiók által elérhető erőforrásokat.
A Kerberos által korlátozott delegálás (KCD) korlátozza azokat a szolgáltatásokat vagy erőforrásokat, amelyeket egy adott kiszolgáló vagy alkalmazás csatlakozhat egy másik identitás megszemélyesítéséhez. A hagyományos KCD tartományadminisztrátori jogosultságokat igényel egy szolgáltatás tartományi fiókjának konfigurálásához, és korlátozza a fiók egyetlen tartományon való futtatását.
A hagyományos KCD-nek is van néhány problémája. A korábbi operációs rendszerekben például a szolgáltatásadminisztrátornak nem volt hasznos módja annak, hogy megtudja, mely előtérbeli szolgáltatások delegálhatók a tulajdonában lévő erőforrás-szolgáltatásokhoz. Minden olyan előtér-szolgáltatás, amely delegálható egy erőforrás-szolgáltatásba, potenciális támadási pont volt. Ha egy, az erőforrás-szolgáltatásokhoz delegálásra konfigurált előtér-szolgáltatást futtató kiszolgáló sérült, az erőforrás-szolgáltatások is veszélybe kerülhetnek.
Felügyelt tartományban nincs tartományi rendszergazdai jogosultsága. Emiatt a hagyományos fiókalapú KCD nem konfigurálható felügyelt tartományban. Az erőforrás-alapú KCD ehelyett használható, ami szintén biztonságosabb.
Erőforrás-alapú KCD
A Windows Server 2012 és újabb verziók lehetővé teszi a szolgáltatás rendszergazdái számára, hogy korlátozott delegálást konfiguráljanak a szolgáltatásukhoz. Ezt a modellt erőforrás-alapú KCD-nek nevezzük. Ezzel a módszerrel a háttérszolgáltatás rendszergazdája engedélyezheti vagy letilthatja bizonyos előtér-szolgáltatásokat a KCD használatából.
Az erőforrás-alapú KCD a PowerShell használatával van konfigurálva. A Set-ADComputer vagy a Set-ADUser parancsmagokat attól függően használja, hogy a megszemélyesítő fiók egy számítógépfiók vagy egy felhasználói fiók/szolgáltatásfiók.
Erőforrás-alapú KCD konfigurálása számítógépfiókhoz
Ebben a forgatókönyvben tegyük fel, hogy van egy webalkalmazása, amely a contoso-webapp.aaddscontoso.com nevű számítógépen fut.
A webalkalmazásnak hozzá kell férnie egy webes API-hoz, amely a tartományfelhasználók környezetében contoso-api.aaddscontoso.com nevű számítógépen fut.
A forgatókönyv konfigurálásához hajtsa végre a következő lépéseket:
Egyéni szervezeti egység létrehozása. Az egyéni szervezeti egység kezeléséhez szükséges engedélyeket a felügyelt tartomány felhasználóinak delegálhatja.
Csatlakozzon tartományhoz a virtuális gépekhez, mind a webalkalmazást futtató, mind a webes API-t futtató virtuális gépekhez a felügyelt tartományhoz. Ezeket a számítógépfiókokat az előző lépésben létrehozott egyéni szervezeti egységben hozhatja létre.
Megjegyzés:
A webalkalmazás és a webes API számítógépfiókjainak egyéni szervezeti egységben kell lenniük, ahol rendelkezik erőforrás-alapú KCD konfigurálásához szükséges engedélyekkel. Az erőforrás-alapú KCD nem konfigurálható egy számítógépfiókhoz a beépített Microsoft Entra DC Computers tárolóban.
Végül konfigurálja az erőforrás-alapú KCD-t a Set-ADComputer PowerShell-parancsmaggal.
A tartományhoz csatlakoztatott felügyeleti virtuális gépről és a Microsoft Entra DC rendszergazdák csoportjának tagjaként bejelentkezett felhasználói fiókból futtassa az alábbi parancsmagokat. Szükség szerint adja meg a saját számítógépneveit:
$ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
Erőforrás-alapú KCD konfigurálása felhasználói fiókhoz
Ebben a forgatókönyvben tegyük fel, hogy rendelkezik egy appvc nevű szolgáltatásfiókként futó webalkalmazással. A webalkalmazásnak hozzá kell férnie egy olyan webes API-hoz, amely a tartomány felhasználóinak kontextusában backendsvc nevű szolgáltatásfiókként fut. A forgatókönyv konfigurálásához hajtsa végre a következő lépéseket:
Egyéni szervezeti egység létrehozása. Az egyéni szervezeti egység kezeléséhez szükséges engedélyeket a felügyelt tartomány felhasználóinak delegálhatja.
Csatlakozzon tartományhoz a háttérbeli webes API-t/erőforrást a felügyelt tartományhoz futtató virtuális gépekhez . Hozza létre a számítógépfiókját az egyéni szervezeti egységen belül.
Hozza létre a webalkalmazás egyéni szervezeti egységen belüli futtatásához használt szolgáltatásfiókot (például appsvc).
Megjegyzés:
A webes API virtuális gép számítógépfiókjának és a webalkalmazás szolgáltatásfiókjának szintén egyéni szervezeti egységben kell lennie, ahol rendelkezik erőforrás-alapú KCD konfigurálásához szükséges engedélyekkel. Az erőforrás-alapú KCD nem konfigurálható a beépített Microsoft Entra DC-számítógépeken vagy a Microsoft Entra DC Users tárolókban lévő fiókokhoz. Ez azt is jelenti, hogy nem használhatja a Microsoft Entra-azonosítóból szinkronizált felhasználói fiókokat az erőforrás-alapú KCD beállításához. Kifejezetten a Domain Servicesben létrehozott szolgáltatásfiókokat kell létrehoznia és használnia.
Végül konfigurálja az erőforrás-alapú KCD-t a Set-ADUser PowerShell-parancsmaggal.
A tartományhoz csatlakoztatott felügyeleti virtuális gépről és a Microsoft Entra DC rendszergazdák csoportjának tagjaként bejelentkezett felhasználói fiókból futtassa az alábbi parancsmagokat. Szükség szerint adja meg saját szolgáltatásneveit:
$ImpersonatingAccount = Get-ADUser -Identity appsvc Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
További lépések
Ha többet szeretne megtudni a delegálás működéséről Active Directory tartományi szolgáltatások, tekintse meg a Kerberos korlátozott delegálásának áttekintését.