Configurare la delega vincolata Kerberos (KCD) in Microsoft Entra Domain Services
Durante l'esecuzione delle applicazioni, potrebbe essere necessario che tali applicazioni accingano alle risorse nel contesto di un utente diverso. Dominio di Active Directory Services (AD DS) supporta un meccanismo denominato Delega Kerberos che abilita questo caso d'uso. La delega vincolata Kerberos si basa quindi su questo meccanismo per definire risorse specifiche a cui è possibile accedere nel contesto dell'utente.
I domini gestiti di Microsoft Entra Domain Services sono bloccati in modo più sicuro rispetto agli ambienti di Active Directory Domain Services locali tradizionali, quindi usare una delega vincolata kerberos basata su risorse più sicura.
Questo articolo illustra come configurare la delega vincolata Kerberos basata su risorse in un dominio gestito di Servizi di dominio.
Prerequisiti
Per completare l'esercitazione di questo articolo, sono necessarie le risorse seguenti:
- Una sottoscrizione di Azure attiva.
- Se non si ha una sottoscrizione di Azure, creare un account.
- Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o una directory solo cloud.
- Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure all'account.
- Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
- Se necessario, creare e configurare un dominio gestito di Microsoft Entra Domain Services.
- Macchina virtuale di gestione di Windows Server aggiunta al dominio gestito di Servizi di dominio.
- Se necessario, completare l'esercitazione per creare una macchina virtuale Windows Server e aggiungerla a un dominio gestito, quindi installare gli strumenti di gestione di Active Directory Domain Services.
- Un account utente membro del gruppo di amministratori di Microsoft Entra DC nel tenant di Microsoft Entra.
Panoramica della delega vincolata Kerberos
La delega Kerberos consente a un account di rappresentare un altro account per accedere alle risorse. Ad esempio, un'applicazione Web che accede a un componente Web back-end può rappresentare se stessa come un account utente diverso quando effettua la connessione back-end. La delega Kerberos non è sicura perché non limita le risorse a cui l'account di rappresentazione può accedere.
La delega vincolata Kerberos limita i servizi o le risorse che un server o un'applicazione specificata può connettersi durante la rappresentazione di un'altra identità. La delega vincolata kerberos tradizionale richiede privilegi di amministratore di dominio per configurare un account di dominio per un servizio e limita l'esecuzione dell'account in un singolo dominio.
La delega vincolata kerberos tradizionale presenta anche alcuni problemi. Ad esempio, nei sistemi operativi precedenti, l'amministratore del servizio non aveva modo utile per sapere quali servizi front-end delegati ai servizi risorse di proprietà. Qualsiasi servizio front-end che potrebbe delegare a un servizio risorse era un potenziale punto di attacco. Se un server che ospita un servizio front-end configurato per delegare ai servizi risorse è stato compromesso, i servizi delle risorse potrebbero anche essere compromessi.
In un dominio gestito non si hanno privilegi di amministratore di dominio. Di conseguenza, la delega vincolata kerberos basata su account tradizionale non può essere configurata in un dominio gestito. La delega vincolata kerberos basata sulle risorse può invece essere usata, che è anche più sicura.
Delega vincolata Kerberos basata su risorse
Windows Server 2012 e versioni successive offre agli amministratori del servizio la possibilità di configurare la delega vincolata per il servizio. Questo modello è noto come delega vincolata Kerberos basata su risorse. Con questo approccio, l'amministratore del servizio back-end può consentire o negare a specifici servizi front-end l'uso della delega vincolata kerberos.
È possibile configurare la delega vincolata Kerberos basata sulle risorse usando PowerShell. Usare i cmdlet Set-ADComputer o Set-ADUser , a seconda che l'account di rappresentazione sia un account computer o un account utente/account del servizio.
Configurare la delega vincolata kerberos basata su risorse per un account computer
In questo scenario si supponga di avere un'app Web in esecuzione nel computer denominato contoso-webapp.aaddscontoso.com.
L'app Web deve accedere a un'API Web eseguita nel computer denominato contoso-api.aaddscontoso.com nel contesto degli utenti di dominio.
Completare i passaggi seguenti per configurare questo scenario:
Creare un'unità organizzativa personalizzata. È possibile delegare le autorizzazioni per gestire questa unità organizzativa agli utenti appartenenti al dominio gestito.
Aggiungere le macchine virtuali, sia quella che esegue l'app Web, sia quella che esegue l'API Web, al dominio gestito. Creare questi account computer nell'unità organizzativa personalizzata del passaggio precedente.
Nota
Gli account computer per l'app Web e l'API Web devono trovarsi in un'unità organizzativa personalizzata in cui si dispone delle autorizzazioni per configurare la delega vincolata kerberos basata su risorse. Non è possibile configurare KCD basato sulle risorse per un account computer nel contenitore predefinito Microsoft Entra DC Computers .
Configurare infine la delega vincolata kerberos basata sulle risorse usando il cmdlet PowerShell Set-ADComputer .
Dalla macchina virtuale di gestione aggiunta a un dominio e connesso come account utente membro del gruppo amministratori di Microsoft Entra DC, eseguire i cmdlet seguenti. Specificare i nomi dei computer in base alle esigenze:
$ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
Configurare la delega vincolata kerberos basata su risorse per un account utente
In questo scenario si supponga di avere un'app Web che viene eseguita come account del servizio denominato appsvc. L'app Web deve accedere a un'API Web eseguita come account del servizio denominato backendsvc nel contesto degli utenti di dominio. Completare i passaggi seguenti per configurare questo scenario:
Creare un'unità organizzativa personalizzata. È possibile delegare le autorizzazioni per gestire questa unità organizzativa agli utenti appartenenti al dominio gestito.
Aggiungere al dominio le macchine virtuali che eseguono l'API Web o la risorsa back-end nel dominio gestito. Creare l'account del computer all'interno dell'unità organizzativa personalizzata.
Creare l'account del servizio ,ad esempio appsvc, usato per eseguire l'app Web all'interno dell'unità organizzativa personalizzata.
Nota
Anche in questo caso, l'account computer per la macchina virtuale dell'API Web e l'account del servizio per l'app Web devono trovarsi in un'unità organizzativa personalizzata in cui si dispone delle autorizzazioni per configurare la delega vincolata vincolata kerberos basata su risorse. Non è possibile configurare KCD basato sulle risorse per gli account nei contenitori Microsoft Entra DC Computers predefiniti o Microsoft Entra DC Users . Ciò significa anche che non è possibile usare gli account utente sincronizzati da Microsoft Entra ID per configurare la delega vincolata kerberos basata su risorse. È necessario creare e usare account di servizio creati in modo specifico in Servizi di dominio.
Configurare infine la delega vincolata kerberos basata sulle risorse usando il cmdlet Di PowerShell Set-ADUser .
Dalla macchina virtuale di gestione aggiunta a un dominio e connesso come account utente membro del gruppo amministratori di Microsoft Entra DC, eseguire i cmdlet seguenti. Specificare i propri nomi di servizio in base alle esigenze:
$ImpersonatingAccount = Get-ADUser -Identity appsvc Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
Passaggi successivi
Per altre informazioni sul funzionamento della delega in Dominio di Active Directory Services, vedere Cenni preliminari sulla delega vincolata Kerberos.