委任のバックアップ(No.10) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
委任へ行く。
- 1 (2015-08-11 (火) 10:11:05)
- 2 (2015-08-11 (火) 11:12:33)
- 3 (2015-08-13 (木) 11:47:48)
- 4 (2016-01-26 (火) 19:09:28)
- 5 (2017-01-12 (木) 14:28:15)
- 6 (2017-03-12 (日) 14:49:44)
- 7 (2017-03-27 (月) 13:32:27)
- 8 (2018-02-14 (水) 19:55:24)
- 9 (2019-12-25 (水) 19:33:01)
- 10 (2020-05-15 (金) 11:11:47)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
詳細
- 「委任」と「制約付き委任」
- プロトコルトランジションと制約付き委任
参考
- ベースクライアントセキュリティモデル

概要 †

「偽装」をさらに強力にしたものが「委任」で、「委任」を許可することにより、
「ベースクライアント」の権限でリモートリソースにアクセスできる（サーバからのリモートアクセス）。

詳細 †

「委任」と「制約付き委任」 †

前提 †

「委任」を使用する場合、Active Directoryドメイン環境とケルベロス認証が必須である。

Windows 2000 Serverに於ける「委任」については、制限が無かったが、

潜在的なセキュリティ脅威を含んでいたため、
Windows 2003 Serverに於ける「委任」は、「制約付き委任」と区別される。

参考
- Windows Server 2003 の制約付き委任 (IIS 6.0)
  https://technet.microsoft.com/ja-jp/library/Dd296652.aspx
  Windows 2000 では委任がサポートされていますが、システム上の特定のサービスに委任を制約することはでないため、この機能を安全に実装することは困難です。
  Windows Server 2003 ネイティブドメインでは、制約付き委任 ("Service4User2Proxy" と呼ばれることもあります) が使用されます。

認証を委任する
https://msdn.microsoft.com/ja-jp/library/Cc739740.aspx

「委任」 †

概要
- 「委任」によりアクセスできるサービスのリストは、
  A2D2リストという名称でActive Directoryリストに保持されている。
- 「委任」を許可していない場合、このリモートアクセスには、「ベースクライアント」の権限が与えられず、
  通常、「サーバからのリモートアクセス」は拒否される（これを、一般的にはダブルホップ問題と呼ぶ）。

設定
委任の構成
- コンピュータに委任時の信頼を付与する
  https://msdn.microsoft.com/ja-jp/library/cc738491.aspx
- ユーザーに委任時の信頼を付与する
  https://msdn.microsoft.com/ja-jp/library/cc739474.aspx

「制約付き委任」 †

概要
管理者はアカウントの委任先となることができるサービスプリンシパル名 (SPN) を指定できる。
この委任は、ドメイン管理者によって明示的に指定された特定のサービスグループに限定される。

設定
制限された委任の構成
- コンピュータに特定のサービスに対する委任時の信頼を付与する
  https://msdn.microsoft.com/ja-jp/library/cc739764.aspx
- ユーザーに特定のサービスに対する委任時の信頼を付与する
  https://msdn.microsoft.com/ja-jp/library/cc757194.aspx

プロトコルトランジションと制約付き委任 †

「プロトコルトランジションと制約付き委任」を構成することで、

種々のCookie認証チケット
SAMLセキュリティートークン
証明書認証

をケルベロス認証に切り替えることができる。

How To: ASP.NET 2.0 でプロトコルトランジションと制約付き委任を使用する方法
https://msdn.microsoft.com/ja-jp/library/ff649317.aspx

参考 †

Kerberos の制限された委任を構成する
https://msdn.microsoft.com/ja-jp/library/Cc786828.aspx

ベースクライアントセキュリティモデル †

SPN †

ケルベロス認証 †

ドメインアカウント †

Tags: :セキュリティ, :認証基盤, :アカウント, :Windows, Active Directory