マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

偽装」をさらに強力にしたものが「委任」で、「委任」を許可することにより、
「ベース クライアント」の権限でリモート リソースにアクセスできる(サーバ からのリモート アクセス)。

詳細

委任」と「制約付き委任

前提

委任」を使用する場合、Active Directoryドメイン環境とケルベロス認証が必須である。

  • Windows 2000 Serverに於ける「委任」については、制限が無かったが、
  • 潜在的なセキュリティ脅威を含んでいたため、
    Windows 2003 Serverに於ける「委任」は、「制約付き委任」と区別される。
  • 参考
    • Windows Server 2003 の制約付き委任 (IIS 6.0)
      https://technet.microsoft.com/ja-jp/library/Dd296652.aspx

      Windows 2000 では委任がサポートされていますが、システム上の特定のサービスに委任を制約することはでないため、この機能を安全に実装することは困難です。
      Windows Server 2003 ネイティブ ドメインでは、制約付き委任 ("Service4User2Proxy" と呼ばれることもあります) が使用されます。

「委任」

  • 概要
    • 「委任」によりアクセスできるサービスのリストは、
      A2D2(msDS-AllowedToDelegate?)リストという名称でActive Directoryリストに保持されている。
    • 「委任」を許可していない場合、このリモート アクセスには、「ベース クライアント」の権限が与えられず、
      通常、「サーバ からのリモート アクセス」は拒否される(これを、一般的にはダブルホップ問題と呼ぶ)。

「制約付き委任」

  • 概要
    管理者はアカウントの委任先となることができるサービス プリンシパル名 (SPN) を指定できる。
    この委任は、ドメイン管理者によって明示的に指定された特定のサービス グループに限定される。

プロトコル トランジションと制約付き委任

「プロトコル トランジションと制約付き委任」を構成することで、

  • 種々のCookie認証チケット
  • SAMLセキュリティートークン
  • 証明書認証

ケルベロス認証に切り替えることができる。

参考

ベース クライアント セキュリティ モデル

SPN

ケルベロス認証

ドメイン アカウント


Tags: :セキュリティ, :認証基盤, :アカウント, :Windows, Active Directory


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2020-05-15 (金) 14:22:27 (59d)