「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>ベース クライアント セキュリティ モデル]]

* 目次 [#j65256a4]
#contents

*概要 [#d5241d73]
「[[偽装>サービス・タスク系のアカウント問題#vaded437]]」をさらに強力にしたものが「委任」で、「委任」を許可することにより、~
「ベース クライアント」の権限でリモート リソースにアクセスできる(サーバ からのリモート アクセス)。

*詳細 [#v1a564a8]

**「[[委任>#m1206829]]」と「[[制約付き委任>#n9f29276]]」 [#l6df523f]

***前提 [#i7faeee1]
「[[委任>#m1206829]]」を使用する場合、[[Active Directory]]ドメイン環境と[[ケルベロス認証]]が必須である。

-Windows 2000 Serverに於ける「[[委任>#m1206829]]」については、制限が無かったが、

-潜在的なセキュリティ脅威を含んでいたため、~
Windows 2003 Serverに於ける「[[委任>#m1206829]]」は、「[[制約付き委任>#n9f29276]]」と区別される。

-参考
--Windows Server 2003 の制約付き委任 (IIS 6.0)~
https://technet.microsoft.com/ja-jp/library/Dd296652.aspx
>Windows 2000 では委任がサポートされていますが、システム上の特定のサービスに委任を制約することはでないため、この機能を安全に実装することは困難です。 ~
Windows Server 2003 ネイティブ ドメインでは、制約付き委任 ("Service4User2Proxy" と呼ばれることもあります) が使用されます。

--認証を委任する~
https://msdn.microsoft.com/ja-jp/library/Cc739740.aspx

***「委任」 [#m1206829]

-概要
--「委任」によりアクセスできるサービスのリストは、~
A2D2リストという名称で[[Active Directory]]リストに保持されている。
A2D2(msDS-AllowedToDelegate)リストという名称で[[Active Directory]]リストに保持されている。
--「委任」を許可していない場合、このリモート アクセスには、「ベース クライアント」の権限が与えられず、~
通常、「サーバ からのリモート アクセス」は拒否される(これを、一般的にはダブルホップ問題と呼ぶ)。

-設定~
委任の構成
--コンピュータに委任時の信頼を付与する~
https://msdn.microsoft.com/ja-jp/library/cc738491.aspx
--ユーザーに委任時の信頼を付与する~
https://msdn.microsoft.com/ja-jp/library/cc739474.aspx

***「制約付き委任」 [#n9f29276]

-概要~
管理者はアカウントの委任先となることができるサービス プリンシパル名 ([[SPN]]) を指定できる。~
この委任は、ドメイン管理者によって明示的に指定された特定のサービス グループに限定される。

-設定~
制限された委任の構成
--コンピュータに特定のサービスに対する委任時の信頼を付与する~
https://msdn.microsoft.com/ja-jp/library/cc739764.aspx
--ユーザーに特定のサービスに対する委任時の信頼を付与する~
https://msdn.microsoft.com/ja-jp/library/cc757194.aspx

**プロトコル トランジションと[[制約付き委任>#n9f29276]] [#re8923e4]
「プロトコル トランジションと[[制約付き委任>#n9f29276]]」を構成することで、
-種々のCookie認証チケット
-[[SAML]]セキュリティートークン
-証明書認証

を[[ケルベロス認証]]に切り替えることができる。

-How To: ASP.NET 2.0 でプロトコル トランジションと制約付き委任を使用する方法~
https://msdn.microsoft.com/ja-jp/library/ff649317.aspx

*参考 [#md3c4c96]
-Kerberos の制限された委任を構成する~
https://msdn.microsoft.com/ja-jp/library/Cc786828.aspx

**[[ベース クライアント セキュリティ モデル]] [#cf808b3c]
***[[SPN]] [#ed22835c]
***[[ケルベロス認証]] [#w55f4d52]
***[[ドメイン アカウント]] [#x309a58b]

----
Tags: [[:セキュリティ]], [[:認証基盤]], [[:アカウント]], [[:Windows]], [[Active Directory]]

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS