Come configurare la delega vincolata Kerberos per le pagine proxy di registrazione Web

L'articolo fornisce istruzioni dettagliate per implementare service for user to proxy (S4U2Proxy) o delega vincolata solo Kerberos in un account del servizio personalizzato per le pagine proxy di registrazione Web.

Numero KB originale: 4494313

Riepilogo

Questo articolo fornisce istruzioni dettagliate per implementare service for user to proxy (S4U2Proxy) o delega vincolata solo Kerberos per le pagine proxy di registrazione Web. Questo articolo descrive gli scenari di configurazione seguenti:

• Configurazione della delega per un account del servizio personalizzato
• Configurazione della delega all'account NetworkService

Nota

I flussi di lavoro descritti in questo articolo sono specifici di un ambiente specifico. Gli stessi flussi di lavoro potrebbero non funzionare per una situazione diversa. Tuttavia, i principi rimangono invariati. La figura seguente riepiloga questo ambiente.

Scenario 1: Configurare la delega vincolata per un account del servizio personalizzato

Questa sezione descrive come implementare service for user to proxy (S4U2Proxy) o delega vincolata solo Kerberos quando si usa un account di servizio personalizzato per le pagine proxy di registrazione Web.

1. Aggiungere un nome SPN all'account del servizio

Associare l'account del servizio a un nome dell'entità servizio (SPN). A tal fine, attenersi alla seguente procedura:

1. In Utenti e computer di Active Directory connettersi al dominio e quindi selezionareUtenti PKI PKI>.

2. Fare clic con il pulsante destro del mouse sull'account del servizio ( ad esempio, web_svc) e quindi scegliere Proprietà.

3. Selezionare Servizio Editor>attributiPrincipalName.

4. Digitare la nuova stringa SPN, selezionare Aggiungi (come illustrato nella figura seguente) e quindi selezionare OK.

   

   È anche possibile usare Windows PowerShell per configurare il nome SPN. A tale scopo, aprire una finestra di PowerShell con privilegi elevati e quindi eseguire setspn -s SPN Accountname. Ad esempio, eseguire il seguente comando:

   setspn -s HTTP/webenroll2016.contoso.com web_svc
   

2. Configurare la delega

1. Configurare la delega vincolata di S4U2proxy (solo Kerberos) nell'account del servizio. A tale scopo, nella finestra di dialogo Proprietà dell'account del servizio (come descritto nella procedura precedente) selezionare Delega>considera attendibile l'utente per la delega solo ai servizi specificati. Assicurarsi che l'opzione Usa solo Kerberos sia selezionata.

   

2. Chiudere la finestra di dialogo.

3. Nell'albero della console selezionare Computer e quindi selezionare l'account computer del server front-end di registrazione Web.

   Nota

   Questo account è noto anche come "account computer".

4. Configurare la delega vincolata S4U2self (transizione del protocollo) nell'account computer. A tale scopo, fare clic con il pulsante destro del mouse sull'account computer e quindi selezionare Proprietà>Delega>considera attendibile il computer per la delega solo ai servizi specificati. Selezionare Utilizza un qualsiasi protocollo di autenticazione.

   

3. Creare e associare il certificato SSL per la registrazione Web

Per abilitare le pagine di registrazione Web, creare un certificato di dominio per il sito Web e quindi associarlo al sito Web predefinito. A tal fine, attenersi alla seguente procedura:

1. Aprire Gestione Internet Information Services (IIS).

2. Nell'albero della console selezionare <HostName> e quindi Selezionare Certificati server.

   Nota

   <Hostname> è il nome del server Web front-end.
   

3. Nel menu Azioni selezionare Crea un certificato di dominio.

4. Dopo aver creato il certificato, selezionare Sito Web predefinito nell'albero della console e quindi selezionare Associazioni.

5. Assicurarsi che Port sia impostato su 443. In Certificato SSL selezionare quindi il certificato creato nel passaggio 3.

   

6. Selezionare OK per associare il certificato alla porta 443.

4. Configurare il server front-end di registrazione Web per l'uso dell'account del servizio

Importante

Assicurarsi che l'account del servizio faccia parte degli amministratori locali o del gruppo IIS_Users nel server Web.

1. Fare clic con il pulsante destro del mouse su DefaultAppPool e quindi scegliere Impostazioni avanzate.

   

2. Selezionare Process ModelIdentity (Elabora identità modello>), selezionare Account personalizzato e quindi Set (Imposta). Specificare il nome e la password dell'account del servizio.

   

3. Selezionare OK nelle finestre di dialogo Imposta credenziali e identità pool di applicazioni.

4. In Impostazioni avanzate individuare Carica profilo utente e assicurarsi che sia impostato su True.

   

5. Riavviare il computer.

Scenario 2: Configurare la delega vincolata nell'account NetworkService

Questa sezione descrive come implementare la delega vincolata solo S4U2Proxy o Kerberos quando si usa l'account NetworkService per le pagine proxy di registrazione Web.

Passaggio facoltativo: Configurare un nome da usare per le connessioni

È possibile assegnare un nome al ruolo Registrazione Web che i client possono usare per connettersi. Questa configurazione significa che le richieste in ingresso non devono conoscere il nome del computer del server front-end di registrazione Web o altre informazioni di routing, ad esempio il nome canonico DNS (CNAME).

Si supponga, ad esempio, che il nome del computer del server di registrazione Web sia WEBENROLLMAC (nel dominio Contoso). Si vuole che le connessioni in ingresso usino invece il nome ContosoWebEnroll. In questo caso, l'URL di connessione sarà il seguente:

https://contosowebenroll.contoso.com/certsrv

Non sarebbe il seguente:

https://WEBENROLLMAC.contoso.com/certsrv

Per usare una configurazione di questo tipo, seguire questa procedura:

1. Nel file della zona DNS per il dominio creare un record alias o un record del nome host che esegue il mapping del nuovo nome di connessione all'indirizzo IP del ruolo Registrazione Web. Usare lo strumento Ping per testare la configurazione del routing.

   Nell'esempio illustrato in precedenza, il file di Contoso.com zona ha un record alias che esegue il mapping di ContosoWebEnroll all'indirizzo IP del ruolo Registrazione Web.

2. Configurare il nuovo nome come nome SPN per il server front-end di registrazione Web. A tal fine, attenersi alla seguente procedura:

   1. In Utenti e computer di Active Directory connettersi al dominio e quindi selezionare Computer.
   2. Fare clic con il pulsante destro del mouse sull'account computer del server front-end di registrazione Web e quindi scegliere Proprietà.

      Nota

      Questo account è noto anche come "account computer".

   3. Selezionare Servizio Editor>attributiPrincipalName.
   4. Digitare HTTP/<ConnectionName>.<DomainName.com>, selezionare Aggiungi e quindi ok.

      Nota

      In questa stringa ConnectionName>< è il nuovo nome definito e <DomainName> è il nome del dominio. Nell'esempio la stringa è HTTP/ContosoWebEnroll.contoso.com.

1. Configurare la delega

1. Se non si è già connessi al dominio, eseguire questa operazione in Utenti e computer di Active Directory e quindi selezionare Computer.

2. Fare clic con il pulsante destro del mouse sull'account computer del server front-end di registrazione Web e quindi scegliere Proprietà.

   Nota

   Questo account è noto anche come "account computer".

3. Selezionare Delega e quindi selezionare Considera attendibile il computer per la delega solo ai servizi specificati.

   Nota

   Se è possibile garantire che i client usino sempre l'autenticazione Kerberos quando si connettono a questo server, selezionare Usa solo Kerberos. Se alcuni client useranno altri metodi di autenticazione, ad esempio NTLM o l'autenticazione basata su form, selezionare Usa qualsiasi protocollo di autenticazione.

   

2. Creare e associare il certificato SSL per la registrazione Web

Per abilitare le pagine di registrazione Web, creare un certificato di dominio per il sito Web e quindi associarlo al primo sito predefinito. A tal fine, attenersi alla seguente procedura:

1. Aprire Gestione IIS.

2. Nell'albero della console selezionare <HostName> e quindi Selezionare Certificati server nel riquadro azioni.

   Nota

   <Hostname> è il nome del server Web front-end.

3. Nel menu Azioni selezionare Crea un certificato di dominio.

4. Dopo aver creato il certificato, selezionare Sito Web predefinito e quindi Associazioni.

5. Assicurarsi che Port sia impostato su 443. In Certificato SSL selezionare quindi il certificato creato nel passaggio 3. Selezionare OK per associare il certificato alla porta 443.

   

3. Configurare il server front-end di registrazione Web per l'uso dell'account NetworkService

1. Fare clic con il pulsante destro del mouse su DefaultAppPool e quindi scegliere Impostazioni avanzate.

   

2. Selezionare Process Model Identity (Identità del modello di> elaborazione). Assicurarsi che l'account predefinito sia selezionato e quindi selezionare NetworkService. Quindi, selezionare OK.

   

3. In Proprietà avanzate individuare Carica profilo utente e quindi assicurarsi che sia impostato su True.

   

4. Riavviare il servizio IIS.

Argomenti correlati

Per altre informazioni su questi processi, vedere Autenticazione degli utenti di applicazioni Web.

Per altre informazioni sulle estensioni del protocollo S4U2self e S4U2proxy, vedere gli articoli seguenti:

• [MS-SFU]: Estensioni del protocollo Kerberos: servizio per il protocollo di delega vincolata e utente
• Esempio di autenticazione singola 4.1 S4U2self
• Esempio di 4.3 S4U2proxy