Beperkte Kerberos-delegering (KCD) configureren in Microsoft Entra Domain Services

Wanneer u toepassingen uitvoert, is het mogelijk dat deze toepassingen toegang hebben tot resources in de context van een andere gebruiker. Active Directory-domein Services (AD DS) ondersteunt een mechanisme dat wordt aangeroepen Kerberos-delegering die deze use-case mogelijk maakt. Kerberos-beperkte delegatie (KCD) bouwt vervolgens voort op dit mechanisme om specifieke resources te definiëren die kunnen worden geopend in de context van de gebruiker.

Beheerde domeinen van Microsoft Entra Domain Services zijn veiliger vergrendeld dan traditionele on-premises AD DS-omgevingen, dus gebruik een veiligere KCD op basis van resources.

In dit artikel wordt beschreven hoe u beperkte Kerberos-delegering op basis van resources configureert in een door Domain Services beheerd domein.

Vereisten

U hebt de volgende resources nodig om dit artikel te voltooien:

• Een actief Azure-abonnement.
  • Als u nog geen Azure-abonnement hebt, maakt u een account.
• Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een cloudmap.
  • Maak indien nodig een Microsoft Entra-tenant of koppel een Azure-abonnement aan uw account.
• Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
  • Maak en configureer zo nodig een door Microsoft Entra Domain Services beheerd domein.
• Een Windows Server-beheer-VM die is gekoppeld aan het beheerde domein Domain Services.
  • Voltooi indien nodig de zelfstudie voor het maken van een Virtuele Windows Server-machine en voeg deze toe aan een beheerd domein en installeer vervolgens de AD DS-beheerhulpprogramma's.
• Een gebruikersaccount dat lid is van de Microsoft Entra DC-beheerdersgroep in uw Microsoft Entra-tenant.

Overzicht beperkte Kerberos-delegering

Met Kerberos-delegering kan één account een ander account imiteren voor toegang tot resources. Een webtoepassing die toegang heeft tot een back-endwebonderdeel, kan zich bijvoorbeeld als een ander gebruikersaccount imiteren wanneer de back-endverbinding wordt uitgevoerd. Kerberos-delegering is onveilig omdat deze niet beperkt tot de resources waartoe het imitatieaccount toegang heeft.

KCD (Beperkte Kerberos-delegering) beperkt de services of resources waarmee een opgegeven server of toepassing verbinding kan maken bij het imiteren van een andere identiteit. Voor traditionele KCD zijn domeinbeheerdersbevoegdheden vereist om een domeinaccount voor een service te configureren en wordt het account beperkt tot uitvoering op één domein.

Traditionele KCD heeft ook enkele problemen. In eerdere besturingssystemen had de servicebeheerder bijvoorbeeld geen handige manier om te weten welke front-endservices zijn gedelegeerd aan de resourceservices waarvan ze eigenaar zijn. Elke front-endservice die aan een resourceservice kon delegeren, was een potentieel aanvalspunt. Als een server waarop een front-endservice wordt gehost die is geconfigureerd om te delegeren aan resourceservices is gecompromitteerd, kunnen de resourceservices ook worden aangetast.

In een beheerd domein hebt u geen bevoegdheden voor domeinbeheerders. Als gevolg hiervan kan KCD op basis van een traditioneel account niet worden geconfigureerd in een beheerd domein. KCD op basis van resources kan in plaats daarvan worden gebruikt, wat ook veiliger is.

KCD op basis van resources

Windows Server 2012 en hoger biedt servicebeheerders de mogelijkheid om beperkte delegering voor hun service te configureren. Dit model wordt KCD op basis van resources genoemd. Met deze methode kan de back-endservicebeheerder specifieke front-endservices toestaan of weigeren met behulp van KCD.

KCD op basis van resources wordt geconfigureerd met behulp van PowerShell. U gebruikt de cmdlets Set-ADComputer of Set-ADUser , afhankelijk van of het imitatieaccount een computeraccount of een gebruikersaccount/serviceaccount is.

KCD op basis van resources configureren voor een computeraccount

In dit scenario gaan we ervan uit dat u een web-app hebt die wordt uitgevoerd op de computer met de naam contoso-webapp.aaddscontoso.com.

De web-app moet toegang hebben tot een web-API die wordt uitgevoerd op de computer met de naam contoso-api.aaddscontoso.com in de context van domeingebruikers.

Voer de volgende stappen uit om dit scenario te configureren:

1. Een aangepaste organisatie-eenheid maken. U kunt machtigingen delegeren om deze aangepaste organisatie-eenheid te beheren aan gebruikers binnen het beheerde domein.

2. Domeindeelname van de virtuele machines, zowel de machine waarop de web-app wordt uitgevoerd als de web-API die wordt uitgevoerd, naar het beheerde domein. Maak deze computeraccounts in de aangepaste organisatie-eenheid uit de vorige stap.

   Notitie

   De computeraccounts voor de web-app en de web-API moeten zich in een aangepaste organisatie-eenheid bevinden waar u machtigingen hebt om op resources gebaseerde KCD te configureren. U kunt KCD op basis van resources niet configureren voor een computeraccount in de ingebouwde container Microsoft Entra DC Computers .

3. Ten slotte configureert u KCD op basis van resources met behulp van de PowerShell-cmdlet Set-ADComputer .

   Voer vanaf de beheer-VM die lid is van uw domein en aangemeld als gebruikersaccount dat lid is van de Microsoft Entra DC-beheerdersgroep de volgende cmdlets uit. Geef indien nodig uw eigen computernamen op:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

KCD op basis van resources configureren voor een gebruikersaccount

In dit scenario gaan we ervan uit dat u een web-app hebt die wordt uitgevoerd als een serviceaccount met de naam appsvc. De web-app moet toegang hebben tot een web-API die wordt uitgevoerd als een serviceaccount met de naam backendsvc in de context van domeingebruikers. Voer de volgende stappen uit om dit scenario te configureren:

1. Een aangepaste organisatie-eenheid maken. U kunt machtigingen delegeren om deze aangepaste organisatie-eenheid te beheren aan gebruikers binnen het beheerde domein.

2. Voeg domein toe aan de virtuele machines waarop de back-endweb-API/resource wordt uitgevoerd naar het beheerde domein. Maak het computeraccount binnen de aangepaste organisatie-eenheid.

3. Maak het serviceaccount (bijvoorbeeld appsvc) dat wordt gebruikt om de web-app in de aangepaste organisatie-eenheid uit te voeren.

   Notitie

   Ook hier moet het computeraccount voor de web-API-VM en het serviceaccount voor de web-app zich in een aangepaste organisatie-eenheid bevinden waar u gemachtigd bent om KCD op basis van resources te configureren. U kunt KCD op basis van resources niet configureren voor accounts in de ingebouwde Microsoft Entra DC-computers of Microsoft Entra DC-gebruikerscontainers . Dit betekent ook dat u geen gebruikersaccounts kunt gebruiken die zijn gesynchroniseerd met Microsoft Entra ID om KCD op basis van resources in te stellen. U moet serviceaccounts maken en gebruiken die specifiek zijn gemaakt in Domain Services.

4. Ten slotte configureert u KCD op basis van resources met behulp van de PowerShell-cmdlet Set-ADUser .

   Voer vanaf de beheer-VM die lid is van uw domein en aangemeld als gebruikersaccount dat lid is van de Microsoft Entra DC-beheerdersgroep de volgende cmdlets uit. Geef indien nodig uw eigen servicenamen op:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Volgende stappen

Zie Het overzicht van beperkte kerberos-delegering voor meer informatie over hoe delegatie werkt in Active Directory-domein Services.