Konfigurace omezeného delegování protokolu Kerberos (KCD) ve službě Microsoft Entra Domain Services

Při spouštění aplikací může být potřeba, aby tyto aplikace měly přístup k prostředkům v kontextu jiného uživatele. Doména služby Active Directory Services (AD DS) podporuje mechanismus, který se nazývá Delegování protokolu Kerberos, které umožňuje tento případ použití. Omezené delegování protokolu Kerberos (KCD) pak vychází z tohoto mechanismu, aby bylo možné definovat konkrétní prostředky, ke kterým se dá přistupovat v kontextu uživatele.

Spravované domény služby Microsoft Entra Domain Services jsou bezpečněji uzamčeny než tradiční místní prostředí SLUŽBY AD DS, takže používejte bezpečnější sadu KCD založenou na prostředcích.

V tomto článku se dozvíte, jak nakonfigurovat omezené delegování Kerberos založené na prostředcích ve spravované doméně domain Services.

Požadavky

K dokončení tohoto článku potřebujete následující zdroje informací:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružte předplatné Azure k vašemu účtu.
• Spravovaná doména služby Microsoft Entra Domain Services je povolená a nakonfigurovaná ve vašem tenantovi Microsoft Entra.
  • V případě potřeby vytvořte a nakonfigurujte spravovanou doménu služby Microsoft Entra Domain Services.
• Virtuální počítač pro správu Windows Serveru, který je připojený ke spravované doméně Domain Services.
  • V případě potřeby dokončete kurz a vytvořte virtuální počítač s Windows Serverem a připojte ho ke spravované doméně a nainstalujte nástroje pro správu služby AD DS.
• Uživatelský účet, který je členem skupiny správců Microsoft Entra DC ve vašem tenantovi Microsoft Entra.

Přehled omezeného delegování Kerberos

Delegování kerberos umožňuje jednomu účtu zosobnit jiný účet pro přístup k prostředkům. Například webová aplikace, která přistupuje k back-endové webové komponentě, se může zosobnit jako jiný uživatelský účet, když se připojí k back-endu. Delegování Kerberos je nezabezpečené, protože neomezuje prostředky, ke které má účet zosobnění přístup.

Omezené delegování kerberos (KCD) omezuje služby nebo prostředky, ke kterým se může určitý server nebo aplikace připojit při zosobnění jiné identity. Tradiční KCD vyžaduje oprávnění správce domény ke konfiguraci účtu domény pro službu a omezuje spuštění účtu v jedné doméně.

Tradiční KCD má také několik problémů. Například v dřívějších operačních systémech neměl správce služeb žádný užitečný způsob, jak zjistit, které front-endové služby delegovaly na služby prostředků, které vlastní. Jakákoli front-endová služba, která by mohla delegovat na službu prostředků, byla potenciálním bodem útoku. Pokud došlo k ohrožení zabezpečení serveru, který hostoval front-end službu nakonfigurovanou tak, aby delegoval služby prostředků na služby prostředků, mohly by být ohroženy také služby prostředků.

Ve spravované doméně nemáte oprávnění správce domény. V důsledku toho není možné ve spravované doméně nakonfigurovat tradiční KCD založené na účtech. Místo toho je možné použít KCD založené na prostředcích, což je také bezpečnější.

KCD založené na prostředcích

Windows Server 2012 a novější poskytuje správcům služeb možnost konfigurovat omezené delegování pro svou službu. Tento model se označuje jako KCD založené na prostředcích. Díky tomuto přístupu může správce back-endových služeb povolit nebo odepřít konkrétní front-endové služby v používání KCD.

KCD založené na prostředcích se konfiguruje pomocí PowerShellu. Rutiny Set-ADComputer nebo Set-ADUser se používají v závislosti na tom, jestli je zosobněním účet počítače nebo uživatelský účet nebo účet služby.

Konfigurace KCD založeného na prostředcích pro účet počítače

V tomto scénáři předpokládejme, že máte webovou aplikaci, která běží na počítači s názvem contoso-webapp.aaddscontoso.com.

Webová aplikace potřebuje přístup k webovému rozhraní API, které běží na počítači s názvem contoso-api.aaddscontoso.com v kontextu uživatelů domény.

Provedením následujících kroků nakonfigurujte tento scénář:

1. Vytvořte vlastní organizační jednotky. Oprávnění ke správě této vlastní organizační jednotky můžete delegovat uživatelům ve spravované doméně.

2. Připojte virtuální počítače k doméně, obě virtuální počítače, na kterém běží webová aplikace, a ten, který spouští webové rozhraní API, do spravované domény. Vytvořte tyto účty počítačů ve vlastní organizační jednotky z předchozího kroku.

   Poznámka:

   Účty počítačů pro webovou aplikaci a webové rozhraní API musí být ve vlastní organizační jednotky, kde máte oprávnění ke konfiguraci KCD založeného na prostředcích. Pro účet počítače v integrovaném kontejneru Microsoft Entra DC Computers nemůžete konfigurovat KCD založené na prostředcích.

3. Nakonec nakonfigurujte KCD založené na prostředcích pomocí rutiny PowerShellu Set-ADComputer .

   Z virtuálního počítače pro správu připojeného k doméně a přihlášený jako uživatelský účet, který je členem skupiny správců Microsoft Entra DC, spusťte následující rutiny. Podle potřeby zadejte vlastní názvy počítačů:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Konfigurace KCD založeného na prostředcích pro uživatelský účet

V tomto scénáři předpokládejme, že máte webovou aplikaci, která běží jako účet služby s názvem appsvc. Webová aplikace potřebuje přístup k webovému rozhraní API, které běží jako účet služby s názvem back-endsvc v kontextu uživatelů domény. Provedením následujících kroků nakonfigurujte tento scénář:

1. Vytvořte vlastní organizační jednotky. Oprávnění ke správě této vlastní organizační jednotky můžete delegovat uživatelům ve spravované doméně.

2. Připojte virtuální počítače , které spouštějí back-endové webové rozhraní API nebo prostředek do spravované domény. Vytvořte svůj účet počítače v rámci vlastní organizační jednotky.

3. Vytvořte účet služby (například appsvc) používaný ke spuštění webové aplikace v rámci vlastní organizační jednotky.

   Poznámka:

   Účet počítače virtuálního počítače s webovým rozhraním API a účet služby pro webovou aplikaci musí být opět ve vlastní organizační jednotky, kde máte oprávnění ke konfiguraci KCD založeného na prostředcích. Pro účty v integrovaných počítačích Microsoft Entra DC nebo kontejnerech Microsoft Entra DC Users není možné konfigurovat KCD založené na prostředcích. To také znamená, že k nastavení KCD založeného na prostředcích nemůžete používat uživatelské účty synchronizované z ID Microsoft Entra. Musíte vytvořit a používat účty služeb vytvořené speciálně ve službě Domain Services.

4. Nakonec nakonfigurujte KCD založené na prostředcích pomocí rutiny PowerShellu Set-ADUser .

   Z virtuálního počítače pro správu připojeného k doméně a přihlášený jako uživatelský účet, který je členem skupiny správců Microsoft Entra DC, spusťte následující rutiny. Podle potřeby zadejte vlastní názvy služeb:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Další kroky

Další informace o tom, jak funguje delegování ve službě Doména služby Active Directory Services, najdete v tématu Přehled omezeného delegování protokolu Kerberos.