Kerberos 제한 위임 개요
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
IT 전문가를 위한 이 개요 항목에서는 Windows Server 2012 R2 및 Windows Server 2012의 Kerberos 제한 위임에 대한 새로운 기능에 대해 설명합니다.
기능 설명
Kerberos 제한 위임은 서비스에서 사용할 수 있는 보다 안전한 형식의 위임을 제공하기 위해 Windows Server 2003에 처음 도입되었습니다. Kerberos 제한 위임이 구성되면 이 기능은 지정된 서버가 사용자 대신 작업을 수행할 수 있는 서비스를 제한합니다. 이 경우 서비스의 도메인 계정을 구성하기 위해 도메인 관리자 권한이 필요하며, 계정이 단일 도메인으로 제한됩니다. 오늘날의 엔터프라이즈에서 프런트 엔드 서비스는 기본 서비스와만 통합하도록 설계되지 않았습니다.
도메인 관리자가 서비스를 구성한 이전 운영 체제에서 서비스 관리자는 기업이 소유한 리소스 서비스로 위임되는 프런트 엔드 서비스를 확인하는 데 사용할 수 있는 유용한 방법이 없는 상태입니다. 뿐만 아니라 리소스 서비스로 위임될 수 있는 프런트 엔드 서비스에 잠재적 공격 지점이 있습니다. 프런트 엔드 서비스를 호스팅하는 서버의 보안이 손상되고, 이 서비스가 리소스 서비스로 위임되도록 구성된 경우 리소스 서비스의 보안 역시 손상될 수 있습니다.
Windows Server 2012 R2 및 Windows Server 2012에서는 서비스에 대한 제한된 위임을 구성하는 기능이 do기본 관리자에서 서비스 관리자로 전송되었습니다. 이렇게 하여 백 엔드 서비스 관리자가 프런트 엔드 서비스를 허용하거나 거부할 수 있습니다.
Windows Server 2003에서 도입된 제한 위임에 대한 자세한 내용은 Kerberos 프로토콜 전환 및 제한 위임(영문)을 참조하세요.
Kerberos 프로토콜의 Windows Server 2012 R2 및 Windows Server 2012 구현에는 제한된 위임을 위한 확장이 포함되어 있습니다. S4U2Proxy(Service for User to Proxy)를 통해 서비스에서 사용자에 대한 Kerberos 서비스 티켓을 사용하여 KDC(키 배포 센터)로부터 백 엔드 서비스에 대한 서비스 티켓을 얻을 수 있습니다. 이러한 확장을 사용하면 백 엔드 서비스의 계정에서 제한된 위임을 구성할 수 있으며, 이는 다른 할 일기본 있을 수 있습니다. 이러한 확장에 대한 자세한 내용은 MSDN 라이브러리의 [MS-SFU]: Kerberos 프로토콜 확장: 사용자용 서비스 및 제한된 위임 프로토콜 사양을 참조하세요.
실용적인 응용 프로그램
제한된 위임을 통해 서비스 관리자는 애플리케이션 서비스가 사용자를 대신하여 작동할 수 있는 범위를 제한하여 애플리케이션 신뢰 경계를 지정하고 적용할 수 있습니다. 서비스 관리자는 백 엔드 서비스에 위임할 수 있는 프런트 엔드 서비스 계정을 구성할 수 있습니다.
Windows Server 2012 R2 및 Windows Server 2012에서 기본 제한 위임을 지원하면 ISA(Microsoft Internet Security and Acceleration) Server, Microsoft Forefront Threat Management Gateway, Microsoft Exchange Outlook Web Access(OWA) 및 Microsoft SharePoint Server와 같은 프런트 엔드 서비스가 제한된 위임을 사용하여 다른 할 일의 서버에 인증하도록 구성할 수 있습니다기본. 그러면 기존 Kerberos 인프라를 사용한 도메인 간 서비스 솔루션이 지원됩니다. Kerberos 제한 위임은 도메인 관리자나 서비스 관리자가 관리할 수 있습니다.
여러 도메인에 걸친 리소스 기반 제한 위임
프런트 엔드 및 리소스 서비스가 같은 도메인에 있지 않아도 Kerberos 제한 위임을 사용하여 제한 위임을 제공할 수 있습니다. 서비스 관리자는 리소스 서비스의 계정 개체에 대해 사용자를 가장할 수 있는 프런트 엔드 서비스의 도메인 계정을 지정하여 새 위임을 구성할 수 있습니다.
이 변경으로 추가되는 값은 무엇인가요?
도메인 간 제한 위임을 지원함으로써 제한 위임을 사용하도록 서비스를 구성하여 제한되지 않은 위임을 사용하지 않고 다른 도메인의 서버로부터 인증을 받을 수 있습니다. 그러면 서비스로의 위임을 위해 프런트 엔드 서비스를 트러스트하지 않고 기존의 Kerberos 인프라를 사용한 도메인 간 서비스 솔루션에 대한 인증이 지원됩니다.
이렇게 하면 서버에서 위임된 ID의 원본을 위임에서 관리자로 신뢰해야 하는지 여부도 기본 리소스 소유자로 이동합니다.
달라진 기능
기본 프로토콜의 변경을 통해 도메인 간 제한 위임을 사용할 수 있습니다. Kerberos 프로토콜의 Windows Server 2012 R2 및 Windows Server 2012 구현에는 S4U2Proxy(사용자 간 프록시) 프로토콜에 대한 확장이 포함됩니다. 이 확장은 서비스에서 사용자에 대한 Kerberos 서비스 티켓을 사용하여 KDC(키 배포 센터)로부터 백 엔드 서비스에 대한 서비스 티켓을 얻을 수 있도록 해주는 Kerberos 프로토콜에 대한 확장 집합입니다.
이러한 확장 에 대한 구현 정보는 [MS-SFU]: Kerberos 프로토콜 확장: MSDN의 사용자용 서비스 및 제한된 위임 프로토콜 사양 을 참조하세요.
S4U(Service for User) 확장과 비교하여 전달된 TGT(Ticket-Granting Ticket)를 포함한 Kerberos 위임의 기본 메시지 순서에 대한 자세한 내용은 [MS-SFU]: Kerberos 프로토콜 확장: 사용자 서비스 및 제한 위임 프로토콜 사양의 1.3.3 프로토콜 개요 섹션(영문)을 참조하세요.
리소스 기반 제한 위임의 보안 영향
리소스 기반 제한 위임은 액세스되는 리소스를 소유하는 관리자의 손에 위임 제어를 맡깁니다. 위임할 신뢰할 수 있는 서비스가 아닌 리소스 서비스의 특성에 따라 달라집니다. 따라서 리소스 기반 제한 위임은 이전에 제어된 프로토콜 전환을 제어한 신뢰할 수 있는 인증 대 위임 비트를 사용할 수 없습니다. KDC는 비트가 설정된 것처럼 리소스 기반 제한 위임을 수행할 때 항상 프로토콜 전환을 허용합니다.
KDC는 프로토콜 전환을 제한하지 않으므로 리소스 관리자에게 이 제어를 제공하기 위해 잘 알려진 두 개의 새로운 SID가 도입되었습니다. 이러한 SID는 프로토콜 전환이 발생했는지 여부를 식별하고 표준 액세스 제어 목록과 함께 사용하여 필요에 따라 액세스 권한을 부여하거나 제한할 수 있습니다.
| SID | 설명 |
|---|---|
| AUTHENTICATION_AUTHORITY_ASSERTED_IDENTITY S-1-18-1 |
클라이언트의 ID가 클라이언트 자격 증명의 소유 증명에 따라 인증 기관에서 어설션됨을 의미하는 SID입니다. |
| SERVICE_ASSERTED_IDENTITY S-1-18-2 |
클라이언트의 ID가 서비스에서 어설션됨을 의미하는 SID입니다. |
백 엔드 서비스는 표준 ACL 식을 사용하여 사용자가 인증된 방법을 결정할 수 있습니다.
리소스 기반 제한 위임을 구성하려면 어떻게 해야 합니까?
사용자를 대신하여 프런트 엔드 서비스 액세스를 허용하도록 리소스 서비스를 구성하려면 Windows PowerShell cmdlet을 사용합니다.
보안 주체 목록을 검색하려면 속성 PrincipalsAllowedToDelegateToAccount 매개 변수와 함께 Get-ADComputer, Get-ADServiceAccount 및 Get-ADUser cmdlet을 사용합니다.
리소스 서비스를 구성하려면 PrincipalsAllowedToDelegateToAccount 매개 변수와 함께 New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccount 및 Set-ADUser cmdlet을 사용합니다.
소프트웨어 요구 사항
리소스 기반 제한 위임은 Windows Server 2012 R2 및 Windows Server 2012를 실행하는 do기본 컨트롤러에서만 구성할 수 있지만 혼합 모드 포리스트 내에서 적용할 수 있습니다.
사용자기본 계정에서 Windows Server 2012를 실행하는 모든 작업기본 컨트롤러는 Windows Server 이전의 운영 체제를 실행하는 프런트 엔드 및 백 엔드 do기본 사이의 조회 경로에 대해 다음 핫픽스를 적용해야 합니다. Windows Server 2008 R2 기반 do기본 컨트롤러(https://support.microsoft.com/en-gb/help/2665790/resource-based-constrained-delegation-kdc-err-policy-failure-in-enviro)가 있는 환경에서 리소스 기반 제한 위임 KDC_ERR_POLICY 오류입니다.