委任 のバックアップソース(No.10)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• バックアップ を表示
• 委任 へ行く。
  • 1 (2015-08-11 (火) 10:11:05)
  • 2 (2015-08-11 (火) 11:12:33)
  • 3 (2015-08-13 (木) 11:47:48)
  • 4 (2016-01-26 (火) 19:09:28)
  • 5 (2017-01-12 (木) 14:28:15)
  • 6 (2017-03-12 (日) 14:49:44)
  • 7 (2017-03-27 (月) 13:32:27)
  • 8 (2018-02-14 (水) 19:55:24)
  • 9 (2019-12-25 (水) 19:33:01)
  • 10 (2020-05-15 (金) 11:11:47)

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>ベース クライアント セキュリティ モデル]]

* 目次 [#j65256a4]
#contents

*概要 [#d5241d73]
「[[偽装>サービス・タスク系のいろいろ#p4f563b8]]」をさらに強力にしたものが「委任」で、「委任」を許可することにより、~
「ベース クライアント」の権限でリモート リソースにアクセスできる（サーバ からのリモート アクセス）。

*詳細 [#v1a564a8]

**「[[委任>#m1206829]]」と「[[制約付き委任>#n9f29276]]」 [#l6df523f]

***前提 [#i7faeee1]
「[[委任>#m1206829]]」を使用する場合、[[Active Directory]]ドメイン環境と[[ケルベロス認証]]が必須である。

-Windows 2000 Serverに於ける「[[委任>#m1206829]]」については、制限が無かったが、

-潜在的なセキュリティ脅威を含んでいたため、~
Windows 2003 Serverに於ける「[[委任>#m1206829]]」は、「[[制約付き委任>#n9f29276]]」と区別される。

-参考
--Windows Server 2003 の制約付き委任 (IIS 6.0)~
https://technet.microsoft.com/ja-jp/library/Dd296652.aspx
>Windows 2000 では委任がサポートされていますが、システム上の特定のサービスに委任を制約することはでないため、この機能を安全に実装することは困難です。 ~
Windows Server 2003 ネイティブ ドメインでは、制約付き委任 ("Service4User2Proxy" と呼ばれることもあります) が使用されます。

--認証を委任する~
https://msdn.microsoft.com/ja-jp/library/Cc739740.aspx

***「委任」 [#m1206829]

-概要
--「委任」によりアクセスできるサービスのリストは、~
A2D2リストという名称で[[Active Directory]]リストに保持されている。
--「委任」を許可していない場合、このリモート アクセスには、「ベース クライアント」の権限が与えられず、~
通常、「サーバ からのリモート アクセス」は拒否される（これを、一般的にはダブルホップ問題と呼ぶ）。

-設定~
委任の構成
--コンピュータに委任時の信頼を付与する~
https://msdn.microsoft.com/ja-jp/library/cc738491.aspx
--ユーザーに委任時の信頼を付与する~
https://msdn.microsoft.com/ja-jp/library/cc739474.aspx

***「制約付き委任」 [#n9f29276]

-概要~
管理者はアカウントの委任先となることができるサービス プリンシパル名 ([[SPN]]) を指定できる。~
この委任は、ドメイン管理者によって明示的に指定された特定のサービス グループに限定される。

-設定~
制限された委任の構成
--コンピュータに特定のサービスに対する委任時の信頼を付与する~
https://msdn.microsoft.com/ja-jp/library/cc739764.aspx
--ユーザーに特定のサービスに対する委任時の信頼を付与する~
https://msdn.microsoft.com/ja-jp/library/cc757194.aspx

**プロトコル トランジションと[[制約付き委任>#n9f29276]] [#re8923e4]
「プロトコル トランジションと[[制約付き委任>#n9f29276]]」を構成することで、
-種々のCookie認証チケット
-[[SAML]]セキュリティートークン
-証明書認証

を[[ケルベロス認証]]に切り替えることができる。

-How To: ASP.NET 2.0 でプロトコル トランジションと制約付き委任を使用する方法~
https://msdn.microsoft.com/ja-jp/library/ff649317.aspx

*参考 [#md3c4c96]
-Kerberos の制限された委任を構成する~
https://msdn.microsoft.com/ja-jp/library/Cc786828.aspx

**[[ベース クライアント セキュリティ モデル]] [#cf808b3c]
***[[SPN]] [#ed22835c]
***[[ケルベロス認証]] [#w55f4d52]
***[[ドメイン アカウント]] [#x309a58b]

----
Tags: [[:セキュリティ]], [[:認証基盤]], [[:アカウント]], [[:Windows]], [[Active Directory]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.003 sec.