1. дома
  2. Вопрос и ответ
  3. делегирования Kerberos между различными службами

делегирования Kerberos между различными службами

2015-09-03 1 views
3

Мы следующая установкой с HTTPd вебсервер, как показано ниже:делегирования Kerberos между различными службами

enter image description here

Heres сценарий: Сервера принимает запрос от браузера делают некоторые операции и создает новый запросить и отправит его на адрес Сервер B. Пользователь X аутентифицирован на Сервер B, но Пользователь Y не является (и он не должен). Поскольку A создает новый запрос, B думает, что Y отправил запрос и тем самым отрицал его. Удаление сервера A не является вариантом. Как я могу это решить. Не могли бы вы помочь?

источник

2015-09-03 sunil_mlec

ответ

3

Это может быть решена путем делегирования: сервер А должен аутентифицировать себя в качестве пользователя X, делая запрос на сервер B.

Делегирование:

  • Сервер А получает запрос от браузера, содержащий TGS билет.
  • сервер A имеет правильную комбинацию имени пользователя и пароля (как хранится в базе данных Kerberos в пользовательском представлении службы), поэтому он может открыть билет и аутентифицировать этого пользователя
  • сервер A делает запрос в KDC для делегированного билета с полученным билетом от пользователя прилагается.
  • KDC (например, AD) проверяет, возможно ли делегирование (в Active Directory пользователю, представляющему сервер A, должно быть предоставлено право делегировать. Эта вкладка становится видимой после использования команды ktpass на ADC для генерации файла keytab. AD также проверяет, учетная запись пользователя позволяет делегировать свой билет - он включен по умолчанию, может быть отключен для некоторых специальных, чувствительных пользователей)
  • KDC предоставляет сервер A делегированный билет Kerberos. Сервер использует его, чтобы войти в сервере B.
  • сервер B принимает запрос от сервера А с делегированным билетом, который говорит, что именно пользователь X, который входит в системе.
    • делегации

Kerberos иногда называют «двойным хмелем »: http://blogs.technet.com/b/askds/archive/2008/06/13/understanding-kerberos-double-hop.aspx

Администраторам Active Directory может не понравиться идея предоставления услуги. Право делегировать билеты (т.е. вход в систему любой другой службы в домене как пользователь X). Вот почему несколько лет назад была введена «ограниченная делегация». Это позволяет администраторам AD позволить службы войти как пользователь X только на сервер B. Они могут установить, что на ActiveDirectory счет представляющих службы А.

http://windowsitpro.com/security/how-windows-server-2012-eases-pain-kerberos-constrained-delegation-part-1

источник

2015-09-12 17:04:21 greenmarker

 Смежные вопросы

  • Нет связанных вопросов^_^