マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

偽装」をさらに強力にしたものが「委任」で、「委任」を許可することにより、
「ベース クライアント」の権限でリモート リソースにアクセスできる(サーバ からのリモート アクセス)。

「委任」を許可していない場合、このリモート アクセスには、
「ベース クライアント」の権限が与えられず拒否される(これを、一般的にはダブルホップ問題と呼ぶ)。

前提

「委任」を使用する場合、Active Directoryドメイン環境とKerberos 認証が必須である。

Windows 2000 Serverに於ける「委任」については、制限が無かったが、
潜在的なセキュリティ脅威を含んでいたため、Windows 2003 Serverに於ける「委任」は、「制約付き委任」と区別される。

Windows 2000 では委任がサポートされていますが、システム上の特定のサービスに委任を制約することはでないため、この機能を安全に実装することは困難です。
Windows Server 2003 ネイティブ ドメインでは、制約付き委任 ("Service4User2Proxy" と呼ばれることもあります) が使用されます。

「委任」と「制約付き委任」

「制約付き委任」

管理者はアカウントの委任先となることができるサービス プリンシパル名 (SPN) を指定できる。
この委任は、ドメイン管理者によって明示的に指定された特定のサービス グループに限定される。

設定

制限された委任の構成

「委任」

「委任」によりアクセスできるサービスのリストは、
A2D2リストという名称でActive Directoryリストに保持されている。

設定

委任の構成

プロトコル トランジションと制約付き委任

「プロトコル トランジションと制約付き委任」を構成することで、

  • 種々のCookie認証チケット
  • SAMLセキュリティートークン
  • 証明書認証

をKerberos認証に切り替えることができる。

参考

ベース クライアント セキュリティ モデル

SPN

ケルベロス認証

ドメイン アカウント


Tags: :セキュリティ, :認証基盤, :アカウント, :Windows, Active Directory


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-02-14 (水) 19:55:24 (639d)