Compartilhar via

Como configurar a Delegação Restrita de Kerberos para páginas proxy de Registro na Web

  • Artigo

O artigo fornece instruções passo a passo para implementar o Serviço de Usuário para Proxy (S4U2Proxy) ou a Delegação Restrita Somente Kerberos em uma conta de serviço personalizada para páginas de proxy de Registro na Web.

Número original do KB: 4494313

Resumo

Este artigo fornece instruções passo a passo para implementar o Serviço de Usuário para Proxy (S4U2Proxy) ou a delegação restrita somente Kerberos para páginas de proxy de Registro na Web. Este artigo descreve os seguintes cenários de configuração:

  • Configurando a delegação para uma conta de serviço personalizada
  • Configurando a delegação para a conta NetworkService

Observação

Os fluxos de trabalho descritos neste artigo são específicos de um ambiente específico. Os mesmos fluxos de trabalho podem não funcionar para uma situação diferente. No entanto, os princípios permanecem os mesmos. A figura a seguir resume esse ambiente.
Tipos de servidores no ambiente de exemplo.

Cenário 1: Configurar a delegação restrita para uma conta de serviço personalizada

Esta seção descreve como implementar o Serviço de Usuário para Proxy (S4U2Proxy) ou a delegação restrita somente Kerberos quando você usa uma conta de serviço personalizada para as páginas de proxy de Registro na Web.

1. Adicionar um SPN à conta de serviço

Associe a conta de serviço a um SPN (Nome da Entidade de Serviço). Para fazer isso, siga estas etapas:

  1. Em Usuários e Computadores do Active Directory, conecte-se ao domínio e selecione Usuários PKI>PKI.

  2. Clique com o botão direito do mouse na conta de serviço (por exemplo, web_svc) e selecione Propriedades.

  3. Selecione Editor de>Atributos servicePrincipalName.

  4. Digite a nova cadeia de caracteres SPN, selecione Adicionar (conforme mostrado na figura a seguir) e selecione OK.

    Diretrizes para adicionar e configurar os SPNs HTTP.

    Você também pode usar o Windows PowerShell para configurar o SPN. Para fazer isso, abra uma janela elevada do PowerShell e execute setspn -s SPN Accountname. Por exemplo, execute o seguinte comando:

    setspn -s HTTP/webenroll2016.contoso.com web_svc

2. Configurar a delegação

  1. Configure a delegação restrita de S4U2proxy (somente Kerberos) na conta de serviço. Para fazer isso, na caixa de diálogo Propriedades da conta de serviço (conforme descrito no procedimento anterior), selecione Delegação>Confiar neste usuário para delegação somente a serviços especificados. Verifique se a opção Usar somente Kerberos está selecionada.

    Configure web_svc propriedades na guia Delegação na caixa de diálogo Propriedades.

  2. Fechar a caixa de diálogo.

  3. Na árvore de console, selecione Computadores e, em seguida, selecione a conta de computador do servidor front-end de Registro na Web.

    Observação

    Essa conta também é conhecida como "conta de máquina".

  4. Configure a delegação restrita S4U2self (Transição de Protocolo) na conta do computador. Para fazer isso, clique com o botão direito do mouse na conta do computador e selecione Propriedades>Delegação>Confiar neste computador para delegação somente a serviços especificados. Selecione Usar qualquer protocolo de autenticação.

    Selecione Usar qualquer protocolo de autenticação na opção Confiar neste computador para delegação somente a serviços especificados.

3. Criar e vincular o certificado SSL para registro na Web

Para habilitar as páginas de registro na Web, crie um certificado de domínio para o site e associe-o ao Site Padrão. Para fazer isso, siga estas etapas:

  1. Abra o Gerenciador do IIS (Serviços de Informações da Internet) .

  2. Na árvore de console, selecione <Nome do Host> e, em seguida, selecione Certificados do Servidor.

    Observação

    <HostName> é o nome do servidor Web front-end.
    Adicione um certificado de domínio para o site.

  3. No menu Ações, selecione Criar um Certificado de Domínio.

  4. Depois que o certificado for criado, selecione Site Padrão na árvore de console e, em seguida, selecione Associações.

  5. Certifique-se de que Port esteja definido como 443. Em seguida, em Certificado SSL, selecione o certificado que você criou na etapa 3.

    Adicione o certificado e associe-o à porta 443 para o cenário 1.

  6. Selecione OK para vincular o certificado à porta 443.

4. Configurar o servidor front-end de Registro na Web para usar a conta de serviço

Importante

Certifique-se de que a conta de serviço faça parte dos administradores locais ou do grupo IIS_Users no servidor Web.
Grupos para a conta de serviço no servidor Web.

  1. Clique com o botão direito do mouse em DefaultAppPool e selecione Configurações Avançadas.

    Defina as configurações avançadas dos pools de aplicativos.

  2. Selecione Identidade do Modelo>de Processo, selecione Conta personalizada e, em seguida, selecione Definir. Especifique o nome e a senha da conta de serviço.

    Configure a Identidade do Pool de Aplicativos como a conta de serviço personalizada.

  3. Selecione OK nas caixas de diálogo Definir Credenciais e Identidade do Pool de Aplicativos.

  4. Em Configurações avançadas, localize Carregar perfil de usuário e verifique se ele está definido como Verdadeiro.

    Defina a configuração Carregar perfil de usuário como True.

  5. Reinicie o computador.

Cenário 2: Configurar a delegação restrita na conta NetworkService

Esta seção descreve como implementar a delegação restrita somente S4U2Proxy ou Kerberos ao usar a conta NetworkService para as páginas proxy de Registro na Web.

Etapa opcional: configurar um nome a ser usado para conexões

Você pode atribuir um nome à função de Registro na Web que os clientes podem usar para se conectar. Essa configuração significa que as solicitações de entrada não precisam saber o nome do computador do servidor front-end do Registro na Web ou outras informações de roteamento, como o nome canônico do DNS (CNAME).

Por exemplo, suponha que o nome do computador do servidor de Registro na Web seja WEBENROLLMAC (no domínio da Contoso). Você deseja que as conexões de entrada usem o nome ContosoWebEnroll. Nesse caso, a URL de conexão seria a seguinte:

https://contosowebenroll.contoso.com/certsrv

Não seria o seguinte:

https://WEBENROLLMAC.contoso.com/certsrv

Para usar essa configuração, siga estas etapas:

  1. No arquivo de zona DNS do domínio, crie um registro de alias ou um registro de nome de host que mapeie o novo nome de conexão para o endereço IP da função de Registro na Web. Use a ferramenta Ping para testar a configuração de roteamento.

    No exemplo discutido anteriormente, o Contoso.com arquivo de zona tem um registro de alias que mapeia ContosoWebEnroll para o endereço IP da função de Registro na Web.

  2. Configure o novo nome como um SPN para o servidor front-end de Registro na Web. Para fazer isso, siga estas etapas:

    1. Em Usuários e Computadores do Active Directory, conecte-se ao domínio e selecione Computadores.
    2. Clique com o botão direito do mouse na conta de computador do servidor front-end de Registro na Web e selecione Propriedades.

      Observação

      Essa conta também é conhecida como "conta de máquina".

    3. Selecione Editor de>Atributos servicePrincipalName.
    4. Digite HTTP/<ConnectionName.<>DomainName.com>, selecione Adicionar e, em seguida, selecione OK.

      Observação

      Nessa cadeia de caracteres, <ConnectionName> é o novo nome que você definiu e< DomainName> é o nome do domínio. No exemplo, a cadeia de caracteres é HTTP/ContosoWebEnroll.contoso.com. Adicione um SPN à conta do computador do servidor front-end.

1. Configurar a delegação

  1. Se você ainda não se conectou ao domínio, faça isso agora em Usuários e Computadores do Active Directory e selecione Computadores.

  2. Clique com o botão direito do mouse na conta de computador do servidor front-end de Registro na Web e selecione Propriedades.

    Observação

    Essa conta também é conhecida como "conta de máquina".

  3. Selecione Delegação e, em seguida, selecione Confiar neste computador para delegação somente para serviços especificados.

    Observação

    Se você puder garantir que os clientes sempre usarão a autenticação Kerberos quando se conectarem a esse servidor, selecione Usar somente Kerberos. Se alguns clientes usarem outros métodos de autenticação, como NTLM ou autenticação baseada em formulários, selecione Usar qualquer protocolo de autenticação.

    Configure a delegação na conta do computador do servidor Web.

2. Criar e vincular o certificado SSL para registro na Web

Para habilitar as páginas de registro na Web, crie um certificado de domínio para o site e associe-o ao primeiro site padrão. Para fazer isso, siga estas etapas:

  1. Abra o Gerenciador do IIS.

  2. Na árvore de console, selecione <Nome do Host> e, em seguida, selecione Certificados de Servidor no painel de ações.

    Observação

    <HostName> é o nome do servidor Web front-end. Adicione um certificado de domínio para o site.

  3. No menu Ações, selecione Criar um Certificado de Domínio.

  4. Depois que o certificado for criado, selecione Site Padrão e, em seguida, selecione Associações.

  5. Certifique-se de que Port esteja definido como 443. Em seguida, em Certificado SSL, selecione o certificado que você criou na etapa 3. Selecione OK para vincular o certificado à porta 443.

    Adicione o certificado e vincule-o à porta 443.

3. Configurar o servidor front-end de Registro na Web para usar a conta NetworkService

  1. Clique com o botão direito do mouse em DefaultAppPool e selecione Configurações Avançadas.

    Selecione Configurações avançadas do pool de aplicativos padrão.

  2. Selecione Identidade do Modelo>de Processo. Verifique se a opção Conta interna está selecionada e selecione NetworkService. Depois, selecione OK.

    Configure a Identidade do Pool de Aplicativos como a conta NetworkService interna.

  3. Em Propriedades Avançadas, localize Carregar Perfil de Usuário e verifique se ele está definido como Verdadeiro.

    Defina o perfil de usuário de carregamento como verdadeiro nas configurações avançadas.

  4. Reinicie o serviço de IIS.

Para obter mais informações sobre esses processos, consulte Autenticando usuários de aplicativos Web.

Para obter mais informações sobre as extensões de protocolo S4U2self e S4U2proxy, consulte os seguintes artigos: