Kerberos korlátozott delegálás (KCD) konfigurálása a Microsoft Entra Domain Servicesben

Alkalmazások futtatásakor előfordulhat, hogy ezeknek az alkalmazásoknak egy másik felhasználó környezetében kell hozzáférnie az erőforrásokhoz. Active Directory tartományi szolgáltatások (AD DS) támogatja a Kerberos-delegálás, amely engedélyezi ezt a használati esetet. A Kerberos által korlátozott delegálás (KCD) ezután erre a mechanizmusra épül, hogy meghatározzon a felhasználó környezetében elérhető konkrét erőforrásokat.

A Microsoft Entra Domain Services által felügyelt tartományok biztonságosabban vannak zárolva, mint a hagyományos helyszíni AD DS-környezetek, ezért biztonságosabb erőforrás-alapú KCD-t használjon.

Ez a cikk bemutatja, hogyan konfigurálhatja az erőforrás-alapú Kerberos korlátozott delegálást egy felügyelt Domain Services-tartományban.

Előfeltételek

A cikk elvégzéséhez a következő erőforrásokra van szüksége:

• Aktív Azure-előfizetés.
  • Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
• Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
  • Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy rendelje hozzá az Azure-előfizetést a fiókjához.
• A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
  • Szükség esetén hozzon létre és konfiguráljon egy Felügyelt Microsoft Entra Domain Services-tartományt.
• A Domain Services által felügyelt tartományhoz csatlakoztatott Windows Server felügyeleti virtuális gép.
  • Ha szükséges, végezze el az oktatóanyagot egy Windows Server rendszerű virtuális gép létrehozásához és felügyelt tartományhoz való csatlakoztatásához, majd telepítse az AD DS felügyeleti eszközeit.
• Egy felhasználói fiók, amely a Microsoft Entra DC rendszergazdák csoportjának tagja a Microsoft Entra-bérlőben.

Kerberos korlátozott delegálás áttekintése

A Kerberos-delegálás lehetővé teszi, hogy egy fiók megszemélyesíthessen egy másik fiókot az erőforrások eléréséhez. Egy háttérbeli webösszetevőt elérő webalkalmazás például más felhasználói fiókként megszemélyesítheti magát a háttérkapcsolat létrehozásakor. A Kerberos-delegálás nem biztonságos, mivel nem korlátozza a megszemélyesítő fiók által elérhető erőforrásokat.

A Kerberos által korlátozott delegálás (KCD) korlátozza azokat a szolgáltatásokat vagy erőforrásokat, amelyeket egy adott kiszolgáló vagy alkalmazás csatlakozhat egy másik identitás megszemélyesítéséhez. A hagyományos KCD tartományadminisztrátori jogosultságokat igényel egy szolgáltatás tartományi fiókjának konfigurálásához, és korlátozza a fiók egyetlen tartományon való futtatását.

A hagyományos KCD-nek is van néhány problémája. A korábbi operációs rendszerekben például a szolgáltatásadminisztrátornak nem volt hasznos módja annak, hogy megtudja, mely előtérbeli szolgáltatások delegálhatók a tulajdonában lévő erőforrás-szolgáltatásokhoz. Minden olyan előtér-szolgáltatás, amely delegálható egy erőforrás-szolgáltatásba, potenciális támadási pont volt. Ha egy, az erőforrás-szolgáltatásokhoz delegálásra konfigurált előtér-szolgáltatást futtató kiszolgáló sérült, az erőforrás-szolgáltatások is veszélybe kerülhetnek.

Felügyelt tartományban nincs tartományi rendszergazdai jogosultsága. Emiatt a hagyományos fiókalapú KCD nem konfigurálható felügyelt tartományban. Az erőforrás-alapú KCD ehelyett használható, ami szintén biztonságosabb.

Erőforrás-alapú KCD

A Windows Server 2012 és újabb verziók lehetővé teszi a szolgáltatás rendszergazdái számára, hogy korlátozott delegálást konfiguráljanak a szolgáltatásukhoz. Ezt a modellt erőforrás-alapú KCD-nek nevezzük. Ezzel a módszerrel a háttérszolgáltatás rendszergazdája engedélyezheti vagy letilthatja bizonyos előtér-szolgáltatásokat a KCD használatából.

Az erőforrás-alapú KCD a PowerShell használatával van konfigurálva. A Set-ADComputer vagy a Set-ADUser parancsmagokat attól függően használja, hogy a megszemélyesítő fiók egy számítógépfiók vagy egy felhasználói fiók/szolgáltatásfiók.

Erőforrás-alapú KCD konfigurálása számítógépfiókhoz

Ebben a forgatókönyvben tegyük fel, hogy van egy webalkalmazása, amely a contoso-webapp.aaddscontoso.com nevű számítógépen fut.

A webalkalmazásnak hozzá kell férnie egy webes API-hoz, amely a tartományfelhasználók környezetében contoso-api.aaddscontoso.com nevű számítógépen fut.

A forgatókönyv konfigurálásához hajtsa végre a következő lépéseket:

1. Egyéni szervezeti egység létrehozása. Az egyéni szervezeti egység kezeléséhez szükséges engedélyeket a felügyelt tartomány felhasználóinak delegálhatja.

2. Csatlakozzon tartományhoz a virtuális gépekhez, mind a webalkalmazást futtató, mind a webes API-t futtató virtuális gépekhez a felügyelt tartományhoz. Ezeket a számítógépfiókokat az előző lépésben létrehozott egyéni szervezeti egységben hozhatja létre.

   Megjegyzés:

   A webalkalmazás és a webes API számítógépfiókjainak egyéni szervezeti egységben kell lenniük, ahol rendelkezik erőforrás-alapú KCD konfigurálásához szükséges engedélyekkel. Az erőforrás-alapú KCD nem konfigurálható egy számítógépfiókhoz a beépített Microsoft Entra DC Computers tárolóban.

3. Végül konfigurálja az erőforrás-alapú KCD-t a Set-ADComputer PowerShell-parancsmaggal.

   A tartományhoz csatlakoztatott felügyeleti virtuális gépről és a Microsoft Entra DC rendszergazdák csoportjának tagjaként bejelentkezett felhasználói fiókból futtassa az alábbi parancsmagokat. Szükség szerint adja meg a saját számítógépneveit:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Erőforrás-alapú KCD konfigurálása felhasználói fiókhoz

Ebben a forgatókönyvben tegyük fel, hogy rendelkezik egy appvc nevű szolgáltatásfiókként futó webalkalmazással. A webalkalmazásnak hozzá kell férnie egy olyan webes API-hoz, amely a tartomány felhasználóinak kontextusában backendsvc nevű szolgáltatásfiókként fut. A forgatókönyv konfigurálásához hajtsa végre a következő lépéseket:

1. Egyéni szervezeti egység létrehozása. Az egyéni szervezeti egység kezeléséhez szükséges engedélyeket a felügyelt tartomány felhasználóinak delegálhatja.

2. Csatlakozzon tartományhoz a háttérbeli webes API-t/erőforrást a felügyelt tartományhoz futtató virtuális gépekhez . Hozza létre a számítógépfiókját az egyéni szervezeti egységen belül.

3. Hozza létre a webalkalmazás egyéni szervezeti egységen belüli futtatásához használt szolgáltatásfiókot (például appsvc).

   Megjegyzés:

   A webes API virtuális gép számítógépfiókjának és a webalkalmazás szolgáltatásfiókjának szintén egyéni szervezeti egységben kell lennie, ahol rendelkezik erőforrás-alapú KCD konfigurálásához szükséges engedélyekkel. Az erőforrás-alapú KCD nem konfigurálható a beépített Microsoft Entra DC-számítógépeken vagy a Microsoft Entra DC Users tárolókban lévő fiókokhoz. Ez azt is jelenti, hogy nem használhatja a Microsoft Entra-azonosítóból szinkronizált felhasználói fiókokat az erőforrás-alapú KCD beállításához. Kifejezetten a Domain Servicesben létrehozott szolgáltatásfiókokat kell létrehoznia és használnia.

4. Végül konfigurálja az erőforrás-alapú KCD-t a Set-ADUser PowerShell-parancsmaggal.

   A tartományhoz csatlakoztatott felügyeleti virtuális gépről és a Microsoft Entra DC rendszergazdák csoportjának tagjaként bejelentkezett felhasználói fiókból futtassa az alábbi parancsmagokat. Szükség szerint adja meg saját szolgáltatásneveit:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

További lépések

Ha többet szeretne megtudni a delegálás működéséről Active Directory tartományi szolgáltatások, tekintse meg a Kerberos korlátozott delegálásának áttekintését.