Azure Active Directory Domain Services 'de Kerberos kısıtlanmış temsilcisini (KCD) yapılandırma

Uygulamaları çalıştırırken, bu uygulamaların farklı bir kullanıcı bağlamında kaynaklara erişmesi için bir gereksinim olabilir. Active Directory Domain Services (AD DS), bu kullanım örneğini sağlayan Kerberos temsili adlı bir mekanizmayı destekler. Kerberos kısıtlı temsilcisi (KCD), bu mekanizmaya, kullanıcı bağlamında erişilebilen belirli kaynakları tanımlamak için oluşturulur.

Azure Active Directory Domain Services (Azure AD DS) yönetilen etki alanları, geleneksel şirket içi AD DS ortamlarından daha güvenli bir şekilde kilitlidir, bu nedenle daha güvenli kaynak tabanlı bir KCD kullanın.

Bu makalede, Azure AD DS yönetilen bir etki alanında kaynak tabanlı Kerberos kısıtlanmış temsilcinin nasıl yapılandırılacağı gösterilir.

Önkoşullar

Bu makaleyi tamamlayabilmeniz için aşağıdaki kaynaklara ihtiyacınız vardır:

• Etkin bir Azure aboneliği.
  • Azure aboneliğiniz yoksa bir hesap oluşturun.
• Abonelikle ilişkili bir Azure Active Directory kiracısı, şirket içi bir dizinle veya yalnızca bulut diziniyle eşitlenir.
  • Gerekirse, bir Azure Active Directory kiracı oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirin.
• Azure AD kiracınızda etkinleştirilmiş ve yapılandırılmış Azure Active Directory Domain Services yönetilen bir etki alanı.
  • Gerekirse, Azure Active Directory Domain Services yönetilen bir etki alanı oluşturun ve yapılandırın.
• Azure AD DS yönetilen etki alanına katılmış bir Windows Server Yönetim sanal makinesi.
  • Gerekirse, bir Windows Server VM 'si oluşturup yönetilen bir etki alanına katmak için öğreticiyi doldurun ve AD DS yönetim araçlarınıekleyin.
• Azure AD kiracınızda Azure AD DC Administrators grubunun üyesi olan bir kullanıcı hesabı.

Kerberos kısıtlı temsilciye genel bakış

Kerberos temsili, bir hesabın kaynaklara erişmek için başka bir hesabın kimliğine bürünmesini sağlar. Örneğin, arka uç Web bileşenine erişen bir Web uygulaması, arka uç bağlantısı yaptığında kendisini farklı bir kullanıcı hesabı olarak taklit edebilir. Kimliğe bürünme hesabının erişebileceği kaynakları sınırmadığı için Kerberos temsili güvenli değildir.

Kerberos Kısıtlanmış temsili (KCD), belirli bir sunucunun veya uygulamanın başka bir kimlik kimliğine bürünerek bağlanabileceği Hizmetleri veya kaynakları kısıtlar. Geleneksel KCD, bir hizmet için etki alanı hesabı yapılandırmak için etki alanı yöneticisi ayrıcalıklarına gerek duyar ve hesabı tek bir etki alanında çalışacak şekilde kısıtlar.

Geleneksel KCD 'de de bazı sorunlar vardır. Örneğin, önceki işletim sistemlerinde, hizmet yöneticisinin sahip oldukları kaynak hizmetleri için hangi ön uç hizmetlerin temsilci olarak olduğunu bilmemiz için kullanışlı bir yolu yoktur. Kaynak hizmetine temsilci olabilecek herhangi bir ön uç hizmeti potansiyel bir saldırı noktasıdır. Kaynak hizmetleri için temsilci olarak yapılandırılmış bir ön uç hizmeti barındıran bir sunucunun güvenliği tehlikeye girerse, kaynak hizmetleri de tehlikeye girebilir.

Yönetilen bir etki alanında etki alanı yöneticisi ayrıcalıklarına sahip değilsiniz. Sonuç olarak, yönetilen bir etki alanında geleneksel hesap tabanlı KCD yapılandırılamaz. Kaynak tabanlı KCD, bunun yerine daha da güvenli bir şekilde kullanılabilir.

Kaynak tabanlı KCD

Windows Server 2012 ve üzeri, hizmet yöneticilerine hizmeti için kısıtlanmış temsilciyi yapılandırma olanağı sağlar. Bu model kaynak tabanlı KCD olarak bilinir. Bu yaklaşımda, arka uç hizmet yöneticisi, belirli ön uç hizmetlerinin KCD kullanmasını sağlayabilir veya reddedebilir.

Kaynak tabanlı KCD, PowerShell kullanılarak yapılandırılır. Kimliğe bürünme hesabının bir bilgisayar hesabı mı yoksa bir kullanıcı hesabı/hizmet hesabı mı olduğuna bağlı olarak set-ADComputer veya set-aduser cmdlet 'lerini kullanırsınız.

Bilgisayar hesabı için kaynak tabanlı KCD 'YI yapılandırma

Bu senaryoda, contoso-WebApp.aaddscontoso.com adlı bilgisayarda çalışan bir Web uygulamasına sahip olduğunu varsayalım.

Web uygulamasının, etki alanı kullanıcıları bağlamında contoso-api.aaddscontoso.com adlı bilgisayarda çalışan BIR Web API 'sine erişmesi gerekir.

Bu senaryoyu yapılandırmak için aşağıdaki adımları izleyin:

1. Özel BIR OU oluşturun. Bu özel OU 'yu yönetilen etki alanındaki kullanıcılara yönetmek için izinler atayabilirsiniz.

2. Etki alanı-hem Web uygulamasını çalıştıran hem de Web API 'sini çalıştıran bir sanal makineyi yönetilen etki alanına ekleyin. Önceki adımda özel OU 'da bu bilgisayar hesaplarını oluşturun.

   Not

   Web uygulaması ve Web API 'SI için bilgisayar hesapları, kaynak tabanlı KCD 'yi yapılandırma izninizin olduğu özel bir OU 'da olmalıdır. Yerleşik AAD DC bilgisayarları kapsayıcısında bir bilgisayar hesabı için kaynak tabanlı KCD 'yi yapılandıramazsınız.

3. Son olarak, set-ADComputer PowerShell cmdlet 'ini kullanarak kaynak tabanlı KCD 'yi yapılandırın.

   Etki alanına katılmış Yönetim sanal makinenizde ve Azure AD DC Yöneticiler grubunun bir üyesi olan kullanıcı hesabı olarak oturum açmış olarak, aşağıdaki cmdlet 'leri çalıştırın. Gerektiğinde kendi bilgisayar adlarınızı sağlayın:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Bir kullanıcı hesabı için kaynak tabanlı KCD 'YI yapılandırma

Bu senaryoda, appsvc adlı bir hizmet hesabı olarak çalışan bir Web uygulamanız olduğunu varsayalım. Web uygulamasının, etki alanı kullanıcıları bağlamında backendsvc adlı bir hizmet hesabı olarak çalışan BIR Web API 'sine erişmesi gerekir. Bu senaryoyu yapılandırmak için aşağıdaki adımları izleyin:

1. Özel BIR OU oluşturun. Bu özel OU 'yu yönetilen etki alanındaki kullanıcılara yönetmek için izinler atayabilirsiniz.

2. Etki alanı- arka uç Web API 'si/kaynağını çalıştıran sanal makineleri yönetilen etki alanına ekleyin. Kendi bilgisayar hesabını özel OU içinde oluşturun.

3. Özel OU içinde Web uygulamasını çalıştırmak için kullanılan hizmet hesabını (örneğin, appsvc) oluşturun.

   Not

   Yine, Web API sanal makinesi için bilgisayar hesabı ve Web uygulaması için hizmet hesabı, kaynak tabanlı KCD 'yi yapılandırma izninizin olduğu özel bir OU 'da olmalıdır. Yerleşik AAD DC Computers veya AAD DC Users kapsayıcılarındaki hesaplar için kaynak tabanlı KCD 'yi yapılandıramazsınız. Bu ayrıca kaynak tabanlı KCD 'yi ayarlamak için Azure AD 'den eşitlenen Kullanıcı hesaplarını kullanamayacağı anlamına gelir. Azure AD DS 'de özel olarak oluşturulan hizmet hesaplarını oluşturmanız ve kullanmanız gerekir.

4. Son olarak, set-ADUser PowerShell cmdlet 'ini kullanarak kaynak tabanlı KCD 'yi yapılandırın.

   Etki alanına katılmış Yönetim sanal makinenizde ve Azure AD DC Yöneticiler grubunun bir üyesi olan kullanıcı hesabı olarak oturum açmış olarak, aşağıdaki cmdlet 'leri çalıştırın. Gerektiğinde kendi hizmet adlarınızı sağlayın:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Sonraki adımlar

Active Directory Domain Services ' de temsilcinin nasıl çalıştığı hakkında daha fazla bilgi edinmek için bkz. Kerberos kısıtlanmış temsilciye genel bakış.