「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
「偽装」をさらに強力にしたものが「委任」で、「委任」を許可することにより、
「ベース クライアント」の権限でリモート リソースにアクセスできる(サーバ からのリモート アクセス)。
「委任」を許可していない場合、このリモート アクセスには、
「ベース クライアント」の権限が与えられず拒否される(これを、一般的にはダブルホップ問題と呼ぶ)。
「委任」を使用する場合、Active Directoryドメイン環境とKerberos 認証が必須である。
Windows 2000 Serverに於ける「委任」については、制限が無かったが、
潜在的なセキュリティ脅威を含んでいたため、Windows 2003 Serverに於ける「委任」は、「制約付き委任」と区別される。
Windows 2000 では委任がサポートされていますが、システム上の特定のサービスに委任を制約することはでないため、この機能を安全に実装することは困難です。
Windows Server 2003 ネイティブ ドメインでは、制約付き委任 ("Service4User2Proxy" と呼ばれることもあります) が使用されます。
管理者はアカウントの委任先となることができるサービス プリンシパル名 (SPN) を指定できる。
この委任は、ドメイン管理者によって明示的に指定された特定のサービス グループに限定される。
制限された委任の構成
「委任」によりアクセスできるサービスのリストは、
A2D2リストという名称でActive Directoryリストに保持されている。
委任の構成
「プロトコル トランジションと制約付き委任」を構成することで、
をKerberos認証に切り替えることができる。
Tags: :セキュリティ, :認証基盤, :アカウント, Active Directory