Configuración de la delegación restringida de Kerberos para páginas de proxy de inscripción web

En el artículo se proporcionan instrucciones paso a paso para implementar el servicio para el usuario al proxy (S4U2Proxy) o la delegación restringida de Kerberos solo en una cuenta de servicio personalizada para las páginas proxy de inscripción web.

Número de KB original: 4494313

Resumen

En este artículo se proporcionan instrucciones paso a paso para implementar el servicio para el usuario al proxy (S4U2Proxy) o la delegación restringida de Kerberos solo para las páginas proxy de inscripción web. En este artículo se describen los siguientes escenarios de configuración:

• Configuración de la delegación para una cuenta de servicio personalizada
• Configuración de la delegación en la cuenta networkService

Nota:

Los flujos de trabajo que se describen en este artículo son específicos de un entorno determinado. Es posible que los mismos flujos de trabajo no funcionen para una situación diferente. Sin embargo, los fundamentos básicos siguen siendo los mismos. En la ilustración siguiente se resume este entorno.

Escenario 1: Configuración de la delegación restringida para una cuenta de servicio personalizada

En esta sección se describe cómo implementar el servicio para el usuario al proxy (S4U2Proxy) o la delegación restringida de Kerberos solo cuando se usa una cuenta de servicio personalizada para las páginas proxy de inscripción web.

1. Agregar un SPN a la cuenta de servicio

Asocie la cuenta de servicio a un nombre de entidad de seguridad de servicio (SPN). Para ello, siga estos pasos:

1. En Usuarios y equipos de Active Directory, conéctese al dominio y, a continuación, seleccione Usuarios de PKI PKI>.

2. Haga clic con el botón derecho en la cuenta de servicio (por ejemplo, web_svc) y seleccione Propiedades.

3. Seleccione Servicio del editor>de atributosPrincipalName.

4. Escriba la nueva cadena de SPN, seleccione Agregar (como se muestra en la ilustración siguiente) y, a continuación, seleccione Aceptar.

   

   También puede usar Windows PowerShell para configurar el SPN. Para ello, abra una ventana de PowerShell con privilegios elevados y, a continuación, ejecute setspn -s SPN Accountname. Por ejemplo, ejecute el siguiente comando:

   setspn -s HTTP/webenroll2016.contoso.com web_svc
   

2. Configurar la delegación

1. Configure la delegación restringida de S4U2proxy (solo Kerberos) en la cuenta de servicio. Para ello, en el cuadro de diálogo Propiedades de la cuenta de servicio (como se describe en el procedimiento anterior), seleccione Delegación>confiar en este usuario para la delegación solo a los servicios especificados. Asegúrese de que use Kerberos only (Usar Kerberos) esté seleccionado.

   

2. Cerrar el cuadro de diálogo.

3. En el árbol de consola, seleccione Equipos y, a continuación, seleccione la cuenta de equipo del servidor front-end de inscripción web.

   Nota:

   Esta cuenta también se conoce como "cuenta de máquina".

4. Configure la delegación restringida de S4U2 (transición de protocolo) en la cuenta de equipo. Para ello, haga clic con el botón derecho en la cuenta de equipo y, a continuación, seleccione Propiedades>de delegación>confiar en este equipo para la delegación solo a los servicios especificados. Seleccione Usar cualquier protocolo de autenticación.

   

3. Creación y enlace del certificado SSL para la inscripción web

Para habilitar las páginas de inscripción web, cree un certificado de dominio para el sitio web y, a continuación, conéctelo al sitio web predeterminado. Para ello, siga estos pasos:

1. Abra el Administrador de Internet Information Services (IIS) .

2. En el árbol de consola, seleccione <HostName> y, a continuación, seleccione Certificados de servidor.

   Nota:

   <HostName> es el nombre del servidor web front-end.
   

3. En el menú Acciones , seleccione Crear un certificado de dominio.

4. Una vez creado el certificado, seleccione Sitio web predeterminado en el árbol de consola y, a continuación, seleccione Enlaces.

5. Asegúrese de que Port está establecido en 443. A continuación, en Certificado SSL, seleccione el certificado que creó en el paso 3.

   

6. Seleccione Aceptar para enlazar el certificado al puerto 443.

4. Configurar el servidor front-end de inscripción web para usar la cuenta de servicio

Importante

Asegúrese de que la cuenta de servicio forma parte de los administradores locales o del grupo IIS_Users en el servidor web.

1. Haga clic con el botón derecho en DefaultAppPool y, a continuación, seleccione Configuración avanzada.

   

2. Seleccione Process Model Identity (Identidad del modelo>de proceso), seleccione Custom account (Cuenta personalizada) y, a continuación, seleccione Set (Establecer). Especifique el nombre y la contraseña de la cuenta de servicio.

   

3. Seleccione Aceptar en los cuadros de diálogo Establecer credenciales e identidad del grupo de aplicaciones.

4. En Configuración avanzada, busque Cargar perfil de usuario y asegúrese de que está establecido en True.

   

5. Reinicie el equipo.

Escenario 2: Configuración de la delegación restringida en la cuenta networkService

En esta sección se describe cómo implementar la delegación restringida solo de S4U2Proxy o Kerberos cuando se usa la cuenta networkService para las páginas proxy de inscripción web.

Paso opcional: Configuración de un nombre que se va a usar para las conexiones

Puede asignar un nombre al rol inscripción web que los clientes pueden usar para conectarse. Esta configuración significa que las solicitudes entrantes no tienen que conocer el nombre de equipo del servidor front-end de inscripción web u otra información de enrutamiento, como el nombre canónico DNS (CNAME).

Por ejemplo, supongamos que el nombre de equipo del servidor de inscripción web es WEBENROLLMAC (en el dominio Contoso). Quiere que las conexiones entrantes usen el nombre ContosoWebEnroll en su lugar. En este caso, la dirección URL de conexión sería la siguiente:

https://contosowebenroll.contoso.com/certsrv

No sería lo siguiente:

https://WEBENROLLMAC.contoso.com/certsrv

Para usar esta configuración, siga estos pasos:

1. En el archivo de zona DNS del dominio, cree un registro de alias o un registro de nombre de host que asigne el nuevo nombre de conexión a la dirección IP del rol Inscripción web. Use la herramienta Ping para probar la configuración de enrutamiento.

   En el ejemplo descrito anteriormente, el Contoso.com archivo de zona tiene un registro de alias que asigna ContosoWebEnroll a la dirección IP del rol Inscripción web.

2. Configure el nuevo nombre como un SPN para el servidor front-end de inscripción web. Para ello, siga estos pasos:

   1. En Usuarios y equipos de Active Directory, conéctese al dominio y, a continuación, seleccione Equipos.
   2. Haga clic con el botón derecho en la cuenta de equipo del servidor front-end inscripción web y, a continuación, seleccione Propiedades.

      Nota:

      Esta cuenta también se conoce como "cuenta de máquina".

   3. Seleccione Servicio del editor>de atributosPrincipalName.
   4. Escriba HTTP/<ConnectionName.<>DomainName.com>, seleccione Agregar y, a continuación, seleccione Aceptar.

      Nota:

      En esta cadena, <ConnectionName> es el nuevo nombre que ha definido y <DomainName> es el nombre del dominio. En el ejemplo, la cadena es HTTP/ContosoWebEnroll.contoso.com.

1. Configurar la delegación

1. Si aún no está conectado al dominio, haga esto ahora en Usuarios y equipos de Active Directory y, a continuación, seleccione Equipos.

2. Haga clic con el botón derecho en la cuenta de equipo del servidor front-end inscripción web y, a continuación, seleccione Propiedades.

   Nota:

   Esta cuenta también se conoce como "cuenta de máquina".

3. Seleccione Delegación y, a continuación, elija Confiar en este equipo solo para la delegación a los servicios especificados.

   Nota:

   Si puede garantizar que los clientes siempre usarán la autenticación Kerberos cuando se conecten a este servidor, seleccione Usar solo Kerberos. Si algunos clientes usarán otros métodos de autenticación, como NTLM o autenticación basada en formularios, seleccione Usar cualquier protocolo de autenticación.

   

2. Creación y enlace del certificado SSL para la inscripción web

Para habilitar las páginas de inscripción web, cree un certificado de dominio para el sitio web y, a continuación, vincule al primer sitio predeterminado. Para ello, siga estos pasos:

1. Abra el Administrador de IIS.

2. En el árbol de consola, seleccione <HostName> y, a continuación, seleccione Certificados de servidor en el panel de acciones.

   Nota:

   <HostName> es el nombre del servidor web front-end.

3. En el menú Acciones , seleccione Crear un certificado de dominio.

4. Una vez creado el certificado, seleccione Sitio web predeterminado y, a continuación, seleccione Enlaces.

5. Asegúrese de que Port está establecido en 443. A continuación, en Certificado SSL, seleccione el certificado que creó en el paso 3. Seleccione Aceptar para enlazar el certificado al puerto 443.

   

3. Configurar el servidor front-end de inscripción web para usar la cuenta networkService

1. Haga clic con el botón derecho en DefaultAppPool y, a continuación, seleccione Configuración avanzada.

   

2. Seleccione Process Model Identity (Identidad del modelo>de proceso). Asegúrese de que la cuenta integrada está seleccionada y, a continuación, seleccione NetworkService. Después, selecciona Aceptar.

   

3. En Propiedades avanzadas, busque Cargar perfil de usuario y asegúrese de que está establecido en True.

   

4. Reinicie el servicio IIS.

Temas relacionados

Para obtener más información sobre estos procesos, consulte Autenticación de usuarios de aplicaciones web.

Para obtener más información sobre las extensiones de protocolo S4U2 y S4U2proxy, consulte los siguientes artículos:

• [MS-SFU]: Extensiones de protocolo Kerberos: servicio para el protocolo de delegación restringida y de usuario
• Ejemplo de dominio único de S4U2 4.1
• Ejemplo de 4.3 S4U2proxy