「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>ベース クライアント セキュリティ モデル]] * 目次 [#j65256a4] #contents *概要 [#d5241d73] 「[[偽装>サービス・タスク系のいろいろ#p4f563b8]]」をさらに強力にしたものが「委任」で、「委任」を許可することにより、~ 「ベース クライアント」の権限でリモート リソースにアクセスできる(サーバ からのリモート アクセス)。 「委任」を許可していない場合、このリモート アクセスには、~ 「ベース クライアント」の権限が与えられず拒否される(これを、一般的にはダブルホップ問題と呼ぶ)。 *前提 [#i7faeee1] 「委任」を使用する場合、Active Directoryドメイン環境とKerberos 認証が必須である。 Windows 2000 Serverに於ける「委任」については、制限が無かったが、~ 潜在的なセキュリティ脅威を含んでいたため、Windows 2003 Serverに於ける「委任」は、「制約付き委任」と区別される。 -Windows Server 2003 の制約付き委任 (IIS 6.0)~ https://technet.microsoft.com/ja-jp/library/Dd296652.aspx >>Windows 2000 では委任がサポートされていますが、システム上の特定のサービスに委任を制約することはでないため、この機能を安全に実装することは困難です。 ~ Windows Server 2003 ネイティブ ドメインでは、制約付き委任 ("Service4User2Proxy" と呼ばれることもあります) が使用されます。 *「委任」と「制約付き委任」 [#l6df523f] -Windows Server 2003 の制約付き委任 (IIS 6.0)~ https://technet.microsoft.com/ja-jp/library/Dd296652.aspx -認証を委任する~ https://msdn.microsoft.com/ja-jp/library/Cc739740.aspx **「制約付き委任」 [#n9f29276] 管理者はアカウントの委任先となることができるサービス プリンシパル名 ([[SPN]]) を指定できる。~ この委任は、ドメイン管理者によって明示的に指定された特定のサービス グループに限定される。 ***設定 [#kb38535a] 制限された委任の構成 -コンピュータに特定のサービスに対する委任時の信頼を付与する~ https://msdn.microsoft.com/ja-jp/library/cc739764.aspx -ユーザーに特定のサービスに対する委任時の信頼を付与する~ https://msdn.microsoft.com/ja-jp/library/cc757194.aspx **「委任」 [#m1206829] 「委任」によりアクセスできるサービスのリストは、~ A2D2リストという名称でActive Directoryリストに保持されている。 ***設定 [#n15a7ba4] 委任の構成 -コンピュータに委任時の信頼を付与する~ https://msdn.microsoft.com/ja-jp/library/cc738491.aspx -ユーザーに委任時の信頼を付与する~ https://msdn.microsoft.com/ja-jp/library/cc739474.aspx *プロトコル トランジションと制約付き委任 [#re8923e4] 「プロトコル トランジションと制約付き委任」を構成することで、 -種々のCookie認証チケット -[[SAML]]セキュリティートークン -証明書認証 をKerberos認証に切り替えることができる。 -How To: ASP.NET 2.0 でプロトコル トランジションと制約付き委任を使用する方法~ https://msdn.microsoft.com/ja-jp/library/ff649317.aspx *参考 [#md3c4c96] -[[SPN]] -Kerberos の制限された委任を構成する~ https://msdn.microsoft.com/ja-jp/library/Cc786828.aspx ---- Tags: [[:セキュリティ]], [[:認証基盤]], [[:アカウント]], [[Active Directory]]