Mengonfigurasi delegasi yang dibatasi Kerberos (KCD) di Microsoft Entra Domain Services

Saat Anda menjalankan aplikasi, mungkin aplikasi tersebut perlu mengakses sumber daya dalam konteks pengguna yang berbeda. Active Directory Domain Services (AD DS) mendukung mekanisme yang disebut delegasi Kerberos yang memungkinkan kasus penggunaan ini. Delegasi yang dibatasi Kerberos (KCD) lalu dibangun pada mekanisme ini untuk menentukan sumber daya tertentu yang dapat diakses dalam konteks pengguna.

Domain terkelola Microsoft Entra Domain Services dikunci dengan lebih aman daripada lingkungan AD DS lokal tradisional, jadi gunakan KCD berbasis sumber daya yang lebih aman.

Artikel ini memperlihatkan kepada Anda cara mengonfigurasi delegasi yang dibatasi Kerberos berbasis sumber daya di domain terkelola Domain Services.

Prasyarat

Untuk menyelesaikan langkah-langkah dalam artikel ini, Anda memerlukan sumber daya berikut:

• Langganan Azure aktif.
  • Jika Anda tidak memiliki langganan Azure, buat akun.
• Penyewa Microsoft Entra yang terkait dengan langganan Anda, baik disinkronkan dengan direktori lokal atau direktori khusus cloud.
  • Jika diperlukan, buat penyewa Microsoft Entra atau kaitkan langganan Azure dengan akun Anda.
• Domain terkelola Microsoft Entra Domain Services diaktifkan dan dikonfigurasi di penyewa Microsoft Entra Anda.
  • Jika diperlukan, buat dan konfigurasikan domain terkelola Microsoft Entra Domain Services.
• VM manajemen Windows Server yang bergabung ke domain terkelola Domain Services.
  • Jika diperlukan, selesaikan tutorial untuk membuat komputer virtual Windows Server dan bergabung dengan domain terkelola lalu memasang alat manajemen Direktori Aktif.
• Akun pengguna yang merupakan anggota grup administrator Microsoft Entra DC di penyewa Microsoft Entra Anda.

Ringkasan delegasi yang dibatasi Kerberos

Delegasi Kerberos memungkinkan satu akun meniru akun lain untuk mengakses sumber daya. Misalnya, aplikasi web yang mengakses komponen web back-end dapat meniru sebagai akun pengguna yang berbeda ketika membuat koneksi back-end. Delegasi Kerberos tidak aman karena tidak membatasi sumber daya apa yang dapat diakses oleh akun peniruan identitas.

Delegasi yang dibatasi Kerberos (KCD) membatasi layanan atau sumber daya yang dapat disambungkan oleh server atau aplikasi tertentu saat meniru identitas lain. KCD tradisional memerlukan izin administrator domain untuk mengonfigurasi akun domain untuk layanan, dan membatasi akun untuk berjalan pada satu domain.

KCD tradisional juga memiliki beberapa masalah. Misalnya, dalam sistem operasi sebelumnya, administrator layanan tidak memiliki cara yang berguna untuk mengetahui layanan front-end mana yang didelegasikan ke layanan sumber daya yang mereka miliki. Setiap layanan front-end yang dapat mendelegasikan ke layanan sumber daya adalah titik serangan potensial. Jika server yang menghosting layanan front-end yang dikonfigurasi untuk mendelegasikan ke layanan sumber daya dikompromikan, layanan sumber daya juga dapat dikompromikan.

Di domain terkelola, Anda tidak memiliki izin administrator domain. Akibatnya, KCD berbasis akun tradisional tidak dapat dikonfigurasi di domain terkelola. Sebagai gantinya, KCD berbasis sumber daya dapat digunakan, yang juga lebih aman.

KCD berbasis sumber daya

Windows Server 2012 dan yang lebih baru memberi administrator layanan kemampuan untuk mengonfigurasi delegasi terbatas untuk layanannya. Model ini dikenal sebagai KCD berbasis sumber daya. Dengan pendekatan ini, administrator layanan back-end dapat mengizinkan atau menolak layanan front-end tertentu menggunakan KCD.

KCD berbasis sumber daya dikonfigurasi menggunakan PowerShell. Anda menggunakan cmdlet Set-ADComputer atau Set-ADUser, bergantung pada apakah akun yang meniru adalah akun komputer atau akun pengguna/akun layanan.

Mengonfigurasi KCD berbasis sumber daya untuk akun komputer

Dalam skenario ini, anggaplah Anda memiliki aplikasi web yang berjalan di komputer bernama contoso-webapp.aaddscontoso.com.

Aplikasi web perlu mengakses API web yang berjalan di komputer bernama contoso-api.aaddscontoso.com dalam konteks pengguna domain.

Selesaikan langkah-langkah berikut untuk mengkonfigurasi skenario ini:

1. Membuat unit organisasi kustom. Anda dapat mendelegasikan izin untuk mengelola unit organisasi kustom ini kepada pengguna dalam domain terkelola.

2. Gabungkan domain komputer virtual, baik yang menjalankan aplikasi web, dan yang menjalankan API web, ke domain terkelola. Buat akun komputer ini di unit organisasi kustom dari langkah sebelumnya.

   Catatan

   Komputer yang diperhitungkan untuk aplikasi web dan API web harus berada dalam unit organisasi kustom di mana Anda memiliki izin untuk mengonfigurasi KCD berbasis sumber daya. Anda tidak dapat mengonfigurasi KCD berbasis sumber daya untuk akun komputer dalam kontainer Microsoft Entra DC Computers bawaan.

3. Terakhir, konfigurasikan KCD berbasis sumber daya menggunakan cmdlet PowerShell Set-ADComputer.

   Dari VM manajemen yang bergabung dengan domain Anda dan masuk sebagai akun pengguna yang merupakan anggota grup administrator Microsoft Entra DC, jalankan cmdlet berikut. Sediakan nama komputer Anda sendiri jika diperlukan:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Mengonfigurasi KCD berbasis sumber daya untuk akun pengguna

Dalam skenario ini, anggaplah Anda memiliki aplikasi web yang berjalan sebagai akun layanan bernama appsvc. Aplikasi web perlu mengakses API web yang berjalan sebagai akun layanan bernama backendsvc dalam konteks pengguna domain. Selesaikan langkah-langkah berikut untuk mengkonfigurasi skenario ini:

1. Membuat unit organisasi kustom. Anda dapat mendelegasikan izin untuk mengelola unit organisasi kustom ini kepada pengguna dalam domain terkelola.

2. Gabungkan domain komputer virtual yang menjalankan backend web API/sumber daya ke domain terkelola. Buat akun komputernya dalam unit organisasi kustom.

3. Buat akun layanan (misalnya, appsvc) yang digunakan untuk menjalankan aplikasi web dalam unit organisasi kustom.

   Catatan

   Sekali lagi, akun komputer untuk komputer virtual API web, dan akun layanan untuk aplikasi web, harus berada dalam unit organisasi khusus tempat Anda memiliki izin untuk mengonfigurasi KCD berbasis sumber daya. Anda tidak dapat mengonfigurasi KCD berbasis sumber daya untuk akun di kontainer Microsoft Entra DC Computers atau Microsoft Entra DC Users bawaan. Ini juga berarti Bahwa Anda tidak dapat menggunakan akun pengguna yang disinkronkan dari ID Microsoft Entra untuk menyiapkan KCD berbasis sumber daya. Anda harus membuat dan menggunakan akun layanan yang dibuat secara khusus di Domain Services.

4. Terakhir, konfigurasikan KCD berbasis sumber daya menggunakan cmdlet PowerShell Set-ADUser.

   Dari VM manajemen yang bergabung dengan domain Anda dan masuk sebagai akun pengguna yang merupakan anggota grup administrator Microsoft Entra DC, jalankan cmdlet berikut. Berikan nama layanan Anda sendiri jika diperlukan:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Langkah berikutnya

Untuk mempelajari selengkapnya tentang cara kerja delegasi di AD DS, lihat Ringkasan Delegasi yang Dibatasi Kerberos.