Microsoft Entra Etki Alanı Hizmetleri'nde Kerberos kısıtlanmış temsilini (KCD) yapılandırma

Uygulamaları çalıştırırken, bu uygulamaların farklı bir kullanıcı bağlamında kaynaklara erişmesi gerekebilir. Active Directory Etki Alanı Hizmetleri (AD DS) adlı bir mekanizmayı desteklerBu kullanım örneğini etkinleştiren Kerberos temsilcisi. Kerberos kısıtlanmış temsili (KCD), kullanıcı bağlamında erişilebilen belirli kaynakları tanımlamak için bu mekanizmayı kullanır.

Microsoft Entra Domain Services yönetilen etki alanları, geleneksel şirket içi AD DS ortamlarına göre daha güvenli bir şekilde kilitlenir, bu nedenle daha güvenli bir kaynak tabanlı KCD kullanın.

Bu makalede, Etki Alanı Hizmetleri tarafından yönetilen bir etki alanında kaynak tabanlı Kerberos kısıtlanmış temsilini yapılandırma adımları gösterilmektedir.

Önkoşullar

Bu makaleyi tamamlamak için aşağıdaki kaynaklara ihtiyacınız vardır:

• Etkin bir Azure aboneliği.
  • Azure aboneliğiniz yoksa bir hesap oluşturun.
• Aboneliğinizle ilişkilendirilmiş bir Microsoft Entra kiracısı, şirket içi dizinle veya yalnızca bulut diziniyle eşitlenir.
  • Gerekirse bir Microsoft Entra kiracısı oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirin.
• Microsoft Entra Kiracınızda etkinleştirilmiş ve yapılandırılmış bir Microsoft Entra Domain Services yönetilen etki alanı.
  • Gerekirse, Microsoft Entra Domain Services tarafından yönetilen bir etki alanı oluşturun ve yapılandırın.
• Etki Alanı Hizmetleri tarafından yönetilen etki alanına katılmış bir Windows Server yönetim VM'si.
  • Gerekirse, Windows Server VM'sini oluşturma ve yönetilen bir etki alanına katılma öğreticisini tamamlayın, ardından AD DS yönetim araçlarını yükleyin.
• Microsoft Entra kiracınızdaki Microsoft Entra DC yöneticiler grubunun üyesi olan bir kullanıcı hesabı.

Kerberos kısıtlanmış temsiline genel bakış

Kerberos temsilcisi, bir hesabın kaynaklara erişmek için başka bir hesabın kimliğine bürünmesine olanak tanır. Örneğin, bir arka uç web bileşenine erişen bir web uygulaması, arka uç bağlantısını yaptığında kendisini farklı bir kullanıcı hesabı olarak taklit edebilir. Kimliğe bürünen hesabın erişebileceği kaynakları sınırlamadığından Kerberos temsilcisi seçme güvenli değildir.

Kerberos kısıtlanmış temsili (KCD), belirtilen bir sunucu veya uygulamanın başka bir kimliğin kimliğine bürünürken bağlanabileceği hizmetleri veya kaynakları kısıtlar. Geleneksel KCD, bir hizmet için etki alanı hesabı yapılandırmak için etki alanı yöneticisi ayrıcalıkları gerektirir ve hesabın tek bir etki alanında çalışmasını kısıtlar.

Geleneksel KCD'nin de birkaç sorunu vardır. Örneğin, önceki işletim sistemlerinde hizmet yöneticisinin sahip oldukları kaynak hizmetlerine hangi ön uç hizmetlerinin temsilci olarak atandığını bilmek için kullanışlı bir yolu yoktu. Bir kaynak hizmetine temsilci atayabilen herhangi bir ön uç hizmeti olası bir saldırı noktasıydı. Kaynak hizmetlerine temsilci atamak üzere yapılandırılmış bir ön uç hizmetini barındıran bir sunucunun güvenliği aşıldıysa, kaynak hizmetleri de tehlikeye girebilir.

Yönetilen bir etki alanında, etki alanı yöneticisi ayrıcalıklarınız yoktur. Sonuç olarak, geleneksel hesap tabanlı KCD yönetilen bir etki alanında yapılandırılamaz. Bunun yerine daha güvenli olan kaynak tabanlı KCD kullanılabilir.

Kaynak tabanlı KCD

Windows Server 2012 ve üzeri, hizmet yöneticilerine hizmetleri için kısıtlanmış temsilci yapılandırma olanağı sağlar. Bu model kaynak tabanlı KCD olarak bilinir. Bu yaklaşımla, arka uç hizmet yöneticisi belirli ön uç hizmetlerinin KCD kullanmasına izin verebilir veya bunları reddedebilir.

Kaynak tabanlı KCD, PowerShell kullanılarak yapılandırılır. Kimliğine bürünen hesabın bilgisayar hesabı mı yoksa kullanıcı hesabı mı/hizmet hesabı mı olduğuna bağlı olarak Set-ADComputer veya Set-ADUser cmdlet'lerini kullanırsınız.

Bilgisayar hesabı için kaynak tabanlı KCD'yi yapılandırma

Bu senaryoda, contoso-webapp.aaddscontoso.com adlı bilgisayarda çalışan bir web uygulamanız olduğunu varsayalım.

Web uygulamasının etki alanı kullanıcıları bağlamında contoso-api.aaddscontoso.com adlı bilgisayarda çalışan bir web API'sine erişmesi gerekir.

Bu senaryoyu yapılandırmak için aşağıdaki adımları tamamlayın:

1. Özel bir OU oluşturun. Yönetilen etki alanı içindeki kullanıcılara bu özel işletim sistemini yönetme izinlerini devredebilirsiniz.

2. Hem web uygulamasını çalıştıran hem de web API'sini çalıştıran sanal makineleri etki alanına katarak yönetilen etki alanına ekleyin. Önceki adımda özel OU'da bu bilgisayar hesaplarını oluşturun.

   Dekont

   Web uygulamasının bilgisayar hesapları ve web API'si, kaynak tabanlı KCD'yi yapılandırma izinlerinizin olduğu özel bir OU'da olmalıdır. Yerleşik Microsoft Entra DC Bilgisayarları kapsayıcısında bir bilgisayar hesabı için kaynak tabanlı KCD yapılandıramazsınız.

3. Son olarak, Set-ADComputer PowerShell cmdlet'ini kullanarak kaynak tabanlı KCD'yi yapılandırın.

   Etki alanına katılmış yönetim VM'nizden ve Microsoft Entra DC yöneticiler grubunun üyesi olan kullanıcı hesabı olarak oturum açtıysa aşağıdaki cmdlet'leri çalıştırın. Gerektiğinde kendi bilgisayar adlarınızı sağlayın:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Kullanıcı hesabı için kaynak tabanlı KCD'yi yapılandırma

Bu senaryoda, appsvc adlı bir hizmet hesabı olarak çalışan bir web uygulamanız olduğunu varsayalım. Web uygulamasının etki alanı kullanıcıları bağlamında backendsvc adlı bir hizmet hesabı olarak çalışan bir web API'sine erişmesi gerekir. Bu senaryoyu yapılandırmak için aşağıdaki adımları tamamlayın:

1. Özel bir OU oluşturun. Yönetilen etki alanı içindeki kullanıcılara bu özel işletim sistemini yönetme izinlerini devredebilirsiniz.

2. Etki alanına, arka uç web API'sini/kaynağını çalıştıran sanal makineleri yönetilen etki alanına ekleyin. Bilgisayar hesabını özel OU içinde oluşturun.

3. Web uygulamasını özel OU içinde çalıştırmak için kullanılan hizmet hesabını (örneğin, appsvc) oluşturun.

   Dekont

   Yine, web API'si VM'sinin bilgisayar hesabı ve web uygulamasının hizmet hesabı, kaynak tabanlı KCD'yi yapılandırma izinlerinizin olduğu özel bir OU'da olmalıdır. Yerleşik Microsoft Entra DC Bilgisayarları veya Microsoft Entra DC Kullanıcıları kapsayıcılarındaki hesaplar için kaynak tabanlı KCD yapılandıramazsınız. Bu, kaynak tabanlı KCD'yi ayarlamak için Microsoft Entra Id'den eşitlenen kullanıcı hesaplarını kullanamamanızı da sağlar. Etki Alanı Hizmetleri'nde özel olarak oluşturulan hizmet hesaplarını oluşturmanız ve kullanmanız gerekir.

4. Son olarak, Set-ADUser PowerShell cmdlet'ini kullanarak kaynak tabanlı KCD'yi yapılandırın.

   Etki alanına katılmış yönetim VM'nizden ve Microsoft Entra DC yöneticiler grubunun üyesi olan kullanıcı hesabı olarak oturum açtıysa aşağıdaki cmdlet'leri çalıştırın. Gerektiğinde kendi hizmet adlarınızı sağlayın:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Sonraki adımlar

temsilci seçmenin Active Directory Etki Alanı Hizmetleri'nde nasıl çalıştığı hakkında daha fazla bilgi edinmek için bkz. Kerberos Kısıtlanmış Temsile Genel Bakış.