「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>ベース クライアント セキュリティ モデル]] * 目次 [#j65256a4] #contents *概要 [#d5241d73] 「[[偽装>サービス・タスク系のいろいろ#p4f563b8]]」をさらに強力にしたものが「委任」で、「委任」を許可することにより、~ 「ベース クライアント」の権限でリモート リソースにアクセスできる(サーバ からのリモート アクセス)。 *詳細 [#v1a564a8] **「[[委任>#m1206829]]」と「[[制約付き委任>#n9f29276]]」 [#l6df523f] ***前提 [#i7faeee1] 「[[委任>#m1206829]]」を使用する場合、[[Active Directory]]ドメイン環境と[[ケルベロス認証]]が必須である。 -Windows 2000 Serverに於ける「[[委任>#m1206829]]」については、制限が無かったが、 -潜在的なセキュリティ脅威を含んでいたため、~ Windows 2003 Serverに於ける「[[委任>#m1206829]]」は、「[[制約付き委任>#n9f29276]]」と区別される。 -参考 --Windows Server 2003 の制約付き委任 (IIS 6.0)~ https://technet.microsoft.com/ja-jp/library/Dd296652.aspx >Windows 2000 では委任がサポートされていますが、システム上の特定のサービスに委任を制約することはでないため、この機能を安全に実装することは困難です。 ~ Windows Server 2003 ネイティブ ドメインでは、制約付き委任 ("Service4User2Proxy" と呼ばれることもあります) が使用されます。 --認証を委任する~ https://msdn.microsoft.com/ja-jp/library/Cc739740.aspx ***「委任」 [#m1206829] -概要 --「委任」によりアクセスできるサービスのリストは、~ A2D2リストという名称で[[Active Directory]]リストに保持されている。 --「委任」を許可していない場合、このリモート アクセスには、「ベース クライアント」の権限が与えられず、~ 通常、「サーバ からのリモート アクセス」は拒否される(これを、一般的にはダブルホップ問題と呼ぶ)。 -設定~ 委任の構成 --コンピュータに委任時の信頼を付与する~ https://msdn.microsoft.com/ja-jp/library/cc738491.aspx --ユーザーに委任時の信頼を付与する~ https://msdn.microsoft.com/ja-jp/library/cc739474.aspx ***「制約付き委任」 [#n9f29276] -概要~ 管理者はアカウントの委任先となることができるサービス プリンシパル名 ([[SPN]]) を指定できる。~ この委任は、ドメイン管理者によって明示的に指定された特定のサービス グループに限定される。 -設定~ 制限された委任の構成 --コンピュータに特定のサービスに対する委任時の信頼を付与する~ https://msdn.microsoft.com/ja-jp/library/cc739764.aspx --ユーザーに特定のサービスに対する委任時の信頼を付与する~ https://msdn.microsoft.com/ja-jp/library/cc757194.aspx **プロトコル トランジションと[[制約付き委任>#n9f29276]] [#re8923e4] 「プロトコル トランジションと[[制約付き委任>#n9f29276]]」を構成することで、 -種々のCookie認証チケット -[[SAML]]セキュリティートークン -証明書認証 を[[ケルベロス認証]]に切り替えることができる。 -How To: ASP.NET 2.0 でプロトコル トランジションと制約付き委任を使用する方法~ https://msdn.microsoft.com/ja-jp/library/ff649317.aspx *参考 [#md3c4c96] -Kerberos の制限された委任を構成する~ https://msdn.microsoft.com/ja-jp/library/Cc786828.aspx **[[ベース クライアント セキュリティ モデル]] [#cf808b3c] ***[[SPN]] [#ed22835c] ***[[ケルベロス認証]] [#w55f4d52] ***[[ドメイン アカウント]] [#x309a58b] ---- Tags: [[:セキュリティ]], [[:認証基盤]], [[:アカウント]], [[:Windows]], [[Active Directory]]