Bagikan melalui


Mengonfigurasi delegasi yang dibatasi Kerberos (KCD) di Microsoft Entra Domain Services

Saat Anda menjalankan aplikasi, mungkin aplikasi tersebut perlu mengakses sumber daya dalam konteks pengguna yang berbeda. Active Directory Domain Services (AD DS) mendukung mekanisme yang disebut delegasi Kerberos yang memungkinkan kasus penggunaan ini. Delegasi yang dibatasi Kerberos (KCD) lalu dibangun pada mekanisme ini untuk menentukan sumber daya tertentu yang dapat diakses dalam konteks pengguna.

Domain terkelola Microsoft Entra Domain Services dikunci dengan lebih aman daripada lingkungan AD DS lokal tradisional, jadi gunakan KCD berbasis sumber daya yang lebih aman.

Artikel ini memperlihatkan kepada Anda cara mengonfigurasi delegasi yang dibatasi Kerberos berbasis sumber daya di domain terkelola Domain Services.

Prasyarat

Untuk menyelesaikan langkah-langkah dalam artikel ini, Anda memerlukan sumber daya berikut:

Ringkasan delegasi yang dibatasi Kerberos

Delegasi Kerberos memungkinkan satu akun meniru akun lain untuk mengakses sumber daya. Misalnya, aplikasi web yang mengakses komponen web back-end dapat meniru sebagai akun pengguna yang berbeda ketika membuat koneksi back-end. Delegasi Kerberos tidak aman karena tidak membatasi sumber daya apa yang dapat diakses oleh akun peniruan identitas.

Delegasi yang dibatasi Kerberos (KCD) membatasi layanan atau sumber daya yang dapat disambungkan oleh server atau aplikasi tertentu saat meniru identitas lain. KCD tradisional memerlukan izin administrator domain untuk mengonfigurasi akun domain untuk layanan, dan membatasi akun untuk berjalan pada satu domain.

KCD tradisional juga memiliki beberapa masalah. Misalnya, dalam sistem operasi sebelumnya, administrator layanan tidak memiliki cara yang berguna untuk mengetahui layanan front-end mana yang didelegasikan ke layanan sumber daya yang mereka miliki. Setiap layanan front-end yang dapat mendelegasikan ke layanan sumber daya adalah titik serangan potensial. Jika server yang menghosting layanan front-end yang dikonfigurasi untuk mendelegasikan ke layanan sumber daya dikompromikan, layanan sumber daya juga dapat dikompromikan.

Di domain terkelola, Anda tidak memiliki izin administrator domain. Akibatnya, KCD berbasis akun tradisional tidak dapat dikonfigurasi di domain terkelola. Sebagai gantinya, KCD berbasis sumber daya dapat digunakan, yang juga lebih aman.

KCD berbasis sumber daya

Windows Server 2012 dan yang lebih baru memberi administrator layanan kemampuan untuk mengonfigurasi delegasi terbatas untuk layanannya. Model ini dikenal sebagai KCD berbasis sumber daya. Dengan pendekatan ini, administrator layanan back-end dapat mengizinkan atau menolak layanan front-end tertentu menggunakan KCD.

KCD berbasis sumber daya dikonfigurasi menggunakan PowerShell. Anda menggunakan cmdlet Set-ADComputer atau Set-ADUser, bergantung pada apakah akun yang meniru adalah akun komputer atau akun pengguna/akun layanan.

Mengonfigurasi KCD berbasis sumber daya untuk akun komputer

Dalam skenario ini, anggaplah Anda memiliki aplikasi web yang berjalan di komputer bernama contoso-webapp.aaddscontoso.com.

Aplikasi web perlu mengakses API web yang berjalan di komputer bernama contoso-api.aaddscontoso.com dalam konteks pengguna domain.

Selesaikan langkah-langkah berikut untuk mengkonfigurasi skenario ini:

  1. Membuat unit organisasi kustom. Anda dapat mendelegasikan izin untuk mengelola unit organisasi kustom ini kepada pengguna dalam domain terkelola.

  2. Gabungkan domain komputer virtual, baik yang menjalankan aplikasi web, dan yang menjalankan API web, ke domain terkelola. Buat akun komputer ini di unit organisasi kustom dari langkah sebelumnya.

    Catatan

    Komputer yang diperhitungkan untuk aplikasi web dan API web harus berada dalam unit organisasi kustom di mana Anda memiliki izin untuk mengonfigurasi KCD berbasis sumber daya. Anda tidak dapat mengonfigurasi KCD berbasis sumber daya untuk akun komputer dalam kontainer Microsoft Entra DC Computers bawaan.

  3. Terakhir, konfigurasikan KCD berbasis sumber daya menggunakan cmdlet PowerShell Set-ADComputer.

    Dari VM manajemen yang bergabung dengan domain Anda dan masuk sebagai akun pengguna yang merupakan anggota grup administrator Microsoft Entra DC, jalankan cmdlet berikut. Sediakan nama komputer Anda sendiri jika diperlukan:

    $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
    Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
    

Mengonfigurasi KCD berbasis sumber daya untuk akun pengguna

Dalam skenario ini, anggaplah Anda memiliki aplikasi web yang berjalan sebagai akun layanan bernama appsvc. Aplikasi web perlu mengakses API web yang berjalan sebagai akun layanan bernama backendsvc dalam konteks pengguna domain. Selesaikan langkah-langkah berikut untuk mengkonfigurasi skenario ini:

  1. Membuat unit organisasi kustom. Anda dapat mendelegasikan izin untuk mengelola unit organisasi kustom ini kepada pengguna dalam domain terkelola.

  2. Gabungkan domain komputer virtual yang menjalankan backend web API/sumber daya ke domain terkelola. Buat akun komputernya dalam unit organisasi kustom.

  3. Buat akun layanan (misalnya, appsvc) yang digunakan untuk menjalankan aplikasi web dalam unit organisasi kustom.

    Catatan

    Sekali lagi, akun komputer untuk komputer virtual API web, dan akun layanan untuk aplikasi web, harus berada dalam unit organisasi khusus tempat Anda memiliki izin untuk mengonfigurasi KCD berbasis sumber daya. Anda tidak dapat mengonfigurasi KCD berbasis sumber daya untuk akun di kontainer Microsoft Entra DC Computers atau Microsoft Entra DC Users bawaan. Ini juga berarti Bahwa Anda tidak dapat menggunakan akun pengguna yang disinkronkan dari ID Microsoft Entra untuk menyiapkan KCD berbasis sumber daya. Anda harus membuat dan menggunakan akun layanan yang dibuat secara khusus di Domain Services.

  4. Terakhir, konfigurasikan KCD berbasis sumber daya menggunakan cmdlet PowerShell Set-ADUser.

    Dari VM manajemen yang bergabung dengan domain Anda dan masuk sebagai akun pengguna yang merupakan anggota grup administrator Microsoft Entra DC, jalankan cmdlet berikut. Berikan nama layanan Anda sendiri jika diperlukan:

    $ImpersonatingAccount = Get-ADUser -Identity appsvc
    Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
    

Langkah berikutnya

Untuk mempelajari selengkapnya tentang cara kerja delegasi di AD DS, lihat Ringkasan Delegasi yang Dibatasi Kerberos.