Поделиться через

Настройка ограниченного делегирования Kerberos для прокси-страниц веб-регистрации

  • Статья

В этой статье приведены пошаговые инструкции по реализации службы для пользователей в прокси-сервер (S4U2Proxy) или Kerberos Only Constrained Делегирование в пользовательской учетной записи службы для прокси-страниц веб-регистрации.

Исходный номер базы знаний: 4494313

Итоги

В этой статье приведены пошаговые инструкции по реализации службы для прокси-сервера (S4U2Proxy) или ограниченного делегирования Kerberos для страниц прокси-сервера веб-регистрации. В этой статье описаны следующие сценарии конфигурации:

  • Настройка делегирования для пользовательской учетной записи службы
  • Настройка делегирования учетной записи NetworkService

Примечание.

Рабочие процессы, описанные в этой статье, относятся к определенной среде. Одни и те же рабочие процессы могут не работать для другой ситуации. Однако принципы остаются неизменными. На следующем рисунке приведены общие сведения об этой среде.
Типы серверов в примере среды.

Сценарий 1. Настройка ограниченного делегирования для пользовательской учетной записи службы

В этом разделе описывается реализация ограниченного делегирования службы для пользователей в прокси-сервер (S4U2Proxy) или ограниченного делегирования kerberos при использовании пользовательской учетной записи службы для прокси-страниц веб-регистрации.

1. Добавление имени участника-службы в учетную запись службы

Свяжите учетную запись службы с именем субъекта-службы (SPN). Для этого выполните следующие шаги.

  1. В Пользователи и компьютеры Active Directory подключитесь к домену и выберите PKI PKI>Users.

  2. Щелкните правой кнопкой мыши учетную запись службы (например, web_svc), а затем выберите "Свойства".

  3. Выберите servicePrincipalName редактора>атрибутов.

  4. Введите новую строку имени участника-службы, нажмите кнопку "Добавить " (как показано на следующем рисунке), а затем нажмите кнопку "ОК".

    Руководство по добавлению и настройке vpn-служб H T T.

    Вы также можете использовать Windows PowerShell для настройки имени участника-службы. Для этого откройте окно PowerShell с повышенными привилегиями, а затем запустите setspn -s SPN Accountname. Например, выполните следующую команду:

    setspn -s HTTP/webenroll2016.contoso.com web_svc

2. Настройка делегирования

  1. Настройте ограниченное делегирование S4U2proxy (только Kerberos) в учетной записи службы. Для этого в диалоговом окне "Свойства" учетной записи службы (как описано в предыдущей процедуре), выберите "Доверять делегированию>" для делегирования только указанным службам. Убедитесь, что выбран только Kerberos.

    Настройте свойства web_svc на вкладке

  2. Закройте диалоговое окно.

  3. В дереве консоли выберите "Компьютеры", а затем выберите учетную запись компьютера внешнего сервера веб-регистрации.

    Примечание.

    Эта учетная запись также называется "учетной записью компьютера".

  4. Настройте ограниченное делегирование S4U2 (переход по протоколу) в учетной записи компьютера. Для этого щелкните правой кнопкой мыши учетную запись компьютера, а затем выберите ">Свойства делегирования>доверия" этому компьютеру для делегирования только указанным службам. Выберите "Использовать любой протокол проверки подлинности".

    Выберите

3. Создание и привязка SSL-сертификата для веб-регистрации

Чтобы включить страницы веб-регистрации, создайте сертификат домена для веб-сайта, а затем привязать его к веб-сайту по умолчанию. Для этого выполните следующие шаги.

  1. Откройте диспетчер служб IIS.

  2. В дереве консоли выберите <HostName> и выберите "Сертификаты сервера".

    Примечание.

    <HostName> — это имя внешнего веб-сервера.
    Добавьте сертификат домена для веб-сайта.

  3. В меню "Действия" выберите "Создать сертификат домена".

  4. После создания сертификата выберите веб-сайт по умолчанию в дереве консоли и выберите "Привязки".

  5. Убедитесь, что для порта задано значение 443. Затем в разделе SSL-сертификат выберите сертификат, созданный на шаге 3.

    Добавьте сертификат и привязать его к порту 443 для сценария 1.

  6. Нажмите кнопку "ОК ", чтобы привязать сертификат к порту 443.

4. Настройка внешнего сервера веб-регистрации для использования учетной записи службы

Внимание

Убедитесь, что учетная запись службы входит в группу локальных администраторов или IIS_Users на веб-сервере.
Группы для учетной записи службы на веб-сервере.

  1. Щелкните правой кнопкой мыши DefaultAppPool и выберите пункт "Дополнительные параметры".

    Настройка дополнительных параметров пулов приложений.

  2. Выберите "Удостоверение модели>обработки", выберите пользовательскую учетную запись и выберите "Задать". Укажите имя и пароль учетной записи службы.

    Настройте удостоверение пула приложений в качестве пользовательской учетной записи службы.

  3. В диалоговом окне "Задать учетные данные и удостоверение пула приложений" нажмите кнопку "ОК".

  4. В дополнительных параметрах найдите профиль пользователя загрузки и убедитесь, что для него задано значение True.

    Задайте для параметра

  5. Перезагрузите компьютер.

Сценарий 2. Настройка ограниченного делегирования в учетной записи NetworkService

В этом разделе описывается, как реализовать ограниченное делегирование S4U2Proxy или Kerberos только при использовании учетной записи NetworkService для страниц прокси-сервера веб-регистрации.

Необязательный шаг. Настройка имени для подключений

Вы можете назначить имя роли веб-регистрации, которую клиенты могут использовать для подключения. Эта конфигурация означает, что входящие запросы не должны знать имя компьютера интерфейсного сервера веб-регистрации или другие сведения о маршрутизации, такие как каноническое имя DNS (CNAME).

Например, предположим, что имя компьютера сервера веб-регистрации — WEBENROLLMAC (в домене Contoso). Вместо этого необходимо, чтобы входящие подключения использовали имя ContosoWebEnroll. В этом случае URL-адрес подключения будет следующим:

https://contosowebenroll.contoso.com/certsrv

Это не будет следующим образом:

https://WEBENROLLMAC.contoso.com/certsrv

Чтобы использовать такую конфигурацию, выполните следующие действия.

  1. В файле зоны DNS для домена создайте запись псевдонима или запись имени узла, которая сопоставляет новое имя подключения с IP-адресом роли веб-регистрации. Используйте средство Ping для проверки конфигурации маршрутизации.

    В примере, описанном ранее, файл зоны содержит запись псевдонима, Contoso.com которая сопоставляет ContosoWebEnroll с IP-адресом роли веб-регистрации.

  2. Настройте новое имя в качестве имени участника-службы для внешнего сервера веб-регистрации. Для этого выполните следующие шаги.

    1. В Пользователи и компьютеры Active Directory подключитесь к домену и выберите "Компьютеры".
    2. Щелкните правой кнопкой мыши учетную запись компьютера внешнего сервера веб-регистрации, а затем выберите "Свойства".

      Примечание.

      Эта учетная запись также называется "учетной записью компьютера".

    3. Выберите servicePrincipalName редактора>атрибутов.
    4. Введите HTTP/<ConnectionName.<>DomainName.com>, нажмите кнопку "Добавить" и нажмите кнопку "ОК".

      Примечание.

      В этой строке <ConnectionName> — это новое имя, которое вы определили, и <DomainName> — это имя домена. В примере строка — HTTP/ContosoWebEnroll.contoso.com. Добавьте S P N в учетную запись компьютера внешнего сервера.

1. Настройка делегирования

  1. Если вы еще не подключились к домену, выполните это в Пользователи и компьютеры Active Directory и выберите "Компьютеры".

  2. Щелкните правой кнопкой мыши учетную запись компьютера внешнего сервера веб-регистрации, а затем выберите "Свойства".

    Примечание.

    Эта учетная запись также называется "учетной записью компьютера".

  3. Выберите " Делегирование", а затем выберите " Доверять этому компьютеру" только для делегирования указанным службам.

    Примечание.

    Если вы можете гарантировать, что клиенты всегда будут использовать проверку подлинности Kerberos при подключении к этому серверу, выберите "Использовать только Kerberos". Если некоторые клиенты будут использовать другие методы проверки подлинности, такие как NTLM или проверка подлинности на основе форм, выберите "Использовать любой протокол проверки подлинности".

    Настройте делегирование на учетной записи компьютера веб-сервера.

2. Создание и привязка SSL-сертификата для веб-регистрации

Чтобы включить страницы веб-регистрации, создайте сертификат домена для веб-сайта и привязите его к первому сайту по умолчанию. Для этого выполните следующие шаги.

  1. Откройте диспетчер служб IIS.

  2. В дереве консоли выберите <HostName> и выберите "Сертификаты сервера" в области действий.

    Примечание.

    <HostName> — это имя внешнего веб-сервера. Добавьте сертификат домена для веб-сайта.

  3. В меню "Действия" выберите "Создать сертификат домена".

  4. После создания сертификата выберите веб-сайт по умолчанию и выберите "Привязки".

  5. Убедитесь, что для порта задано значение 443. Затем в разделе SSL-сертификат выберите сертификат, созданный на шаге 3. Нажмите кнопку "ОК ", чтобы привязать сертификат к порту 443.

    Добавьте сертификат и привязать его к порту 443.

3. Настройка внешнего сервера веб-регистрации для использования учетной записи NetworkService

  1. Щелкните правой кнопкой мыши DefaultAppPool и выберите пункт "Дополнительные параметры".

    Выберите дополнительные параметры пула приложений по умолчанию.

  2. Выберите удостоверение модели>обработки. Убедитесь, что выбрана встроенная учетная запись , а затем выберите NetworkService. Затем нажмите OK.

    Настройте удостоверение пула приложений в качестве встроенной учетной записи NetworkService.

  3. В дополнительных свойствах найдите профиль пользователя загрузки, а затем убедитесь, что для него задано значение True.

    Задайте для профиля пользователя загрузки значение True в параметрах

  4. Перезапустите службу IIS.

Дополнительные сведения об этих процессах см. в разделе "Аутентификация пользователей веб-приложений".

Дополнительные сведения о расширениях протокола S4U2 и S4U2proxy см. в следующих статьях: