Dela via


Så här konfigurerar du Kerberos-begränsad delegering för proxysidor för webbregistrering

Artikeln innehåller stegvisa instruktioner för att implementera Service for User to Proxy (S4U2Proxy) eller Kerberos Only Constrained Delegation på ett anpassat tjänstkonto för proxysidor för webbregistrering.

Ursprungligt KB-nummer: 4494313

Sammanfattning

Den här artikeln innehåller stegvisa instruktioner för att implementera Service for User to Proxy (S4U2Proxy) eller Kerberos-begränsad delegering för proxysidor för webbregistrering. I den här artikeln beskrivs följande konfigurationsscenarier:

  • Konfigurera delegering för ett anpassat tjänstkonto
  • Konfigurera delegering till NetworkService-kontot

Kommentar

De arbetsflöden som beskrivs i den här artikeln är specifika för en viss miljö. Samma arbetsflöden kanske inte fungerar för en annan situation. Principerna är dock desamma. Följande bild sammanfattar den här miljön.
Typer av servrar i exempelmiljön.

Scenario 1: Konfigurera begränsad delegering för ett anpassat tjänstkonto

Det här avsnittet beskriver hur du implementerar tjänst för användare till proxy (S4U2Proxy) eller Kerberos-begränsad delegering när du använder ett anpassat tjänstkonto för proxysidorna för webbregistrering.

1. Lägg till ett SPN i tjänstkontot

Associera tjänstkontot med ett SPN (Service Principal Name). För att göra detta följer du stegen nedan:

  1. I Active Directory - användare och datorer ansluter du till domänen och väljer sedan PKI>PKI-användare.

  2. Högerklicka på tjänstkontot (till exempel web_svc) och välj sedan Egenskaper.

  3. Välj Attributredigerarens>tjänstPrincipalName.

  4. Skriv den nya SPN-strängen, välj Lägg till (som visas i följande bild) och välj sedan OK.

    Vägledning för att lägga till och konfigurera H T T P-SPN:er.

    Du kan också använda Windows PowerShell för att konfigurera SPN. Det gör du genom att öppna ett upphöjt PowerShell-fönster och sedan köra setspn -s SPN Accountname. Kör till exempel följande kommando:

    setspn -s HTTP/webenroll2016.contoso.com web_svc
    

2. Konfigurera delegeringen

  1. Konfigurera S4U2proxy (endast Kerberos) begränsad delegering på tjänstkontot. Det gör du genom att i dialogrutan Egenskaper för tjänstkontot (enligt beskrivningen i föregående procedur) välja Delegering>Lita på den här användaren för delegering till endast angivna tjänster. Kontrollera att Använd Endast Kerberos är markerat.

    Konfigurera web_svc egenskaper under fliken Delegering i dialogrutan Egenskaper.

  2. Stäng dialogrutan.

  3. I konsolträdet väljer du Datorer och sedan datorkontot för klientdelsservern för webbregistrering.

    Kommentar

    Det här kontot kallas även "datorkontot".

  4. Konfigurera S4U2self-begränsad delegering (Protokollövergång) på datorkontot. Det gör du genom att högerklicka på datorkontot och sedan välja Egenskaper>delegering>Lita på den här datorn för delegering endast till angivna tjänster. Välj Använd valfritt autentiseringsprotokoll.

    Välj Använd valfritt autentiseringsprotokoll under alternativet Lita på den här datorn för delegering till angivna tjänster.

3. Skapa och binda SSL-certifikatet för webbregistrering

Om du vill aktivera webbregistreringssidorna skapar du ett domäncertifikat för webbplatsen och binder det sedan till standardwebbplatsen. För att göra detta följer du stegen nedan:

  1. Öppna IIS-hanteraren (Internet Information Services).

  2. I konsolträdet väljer du <HostName> och sedan Servercertifikat.

    Kommentar

    <HostName> är namnet på klientwebbservern.
    Lägg till ett domäncertifikat för webbplatsen.

  3. I menyn Åtgärder väljer du Skapa ett domäncertifikat.

  4. När certifikatet har skapats väljer du Standardwebbplats i konsolträdet och väljer sedan Bindningar.

  5. Kontrollera att porten är inställd på 443. Under SSL-certifikat väljer du sedan det certifikat som du skapade i steg 3.

    Lägg till certifikat och binda det till port 443 för scenario 1.

  6. Välj OK för att binda certifikatet till port 443.

4. Konfigurera klientdelsservern för webbregistrering så att den använder tjänstkontot

Viktigt!

Kontrollera att tjänstkontot ingår i antingen de lokala administratörerna eller IIS_Users grupp på webbservern.
Grupper för tjänstkontot på webbservern.

  1. Högerklicka på DefaultAppPool och välj sedan Avancerade inställningar.

    Konfigurera avancerade inställningar för programpooler.

  2. Välj Processmodellidentitet>, välj Anpassat konto och välj sedan Ange. Ange namnet och lösenordet för tjänstkontot.

    Konfigurera programpoolens identitet som anpassat tjänstkonto.

  3. Välj OK i dialogrutorna Ange autentiseringsuppgifter och programpoolsidentitet .

  4. Leta upp Läs in användarprofil i Avancerade inställningar och se till att den är inställd på Sant.

    Ange inställningen Läs in användarprofil till Sant.

  5. Starta om datorn.

Scenario 2: Konfigurera begränsad delegering på NetworkService-kontot

I det här avsnittet beskrivs hur du implementerar S4U2Proxy- eller Kerberos-begränsad delegering när du använder NetworkService-kontot för proxysidorna för webbregistrering.

Valfritt steg: Konfigurera ett namn som ska användas för anslutningar

Du kan tilldela ett namn till den webbregistreringsroll som klienter kan använda för att ansluta. Den här konfigurationen innebär att inkommande begäranden inte behöver känna till datornamnet på klientdelsservern för webbregistrering eller annan routningsinformation, till exempel det kanoniska DNS-namnet (CNAME).

Anta till exempel att datornamnet för webbregistreringsservern är WEBENROLLMAC (i Contoso-domänen). Du vill att inkommande anslutningar ska använda namnet ContosoWebEnroll i stället. I det här fallet skulle anslutnings-URL:en vara följande:

https://contosowebenroll.contoso.com/certsrv

Det skulle inte vara följande:

https://WEBENROLLMAC.contoso.com/certsrv

Följ dessa steg om du vill använda en sådan konfiguration:

  1. I DNS-zonfilen för domänen skapar du en aliaspost eller en värdnamnspost som mappar det nya anslutningsnamnet till IP-adressen för webbregistreringsrollen. Använd ping-verktyget för att testa routningskonfigurationen.

    I exemplet som tidigare diskuterades Contoso.com har zonfilen en aliaspost som mappar ContosoWebEnroll till IP-adressen för webbregistreringsrollen.

  2. Konfigurera det nya namnet som ett SPN för klientdelsservern för webbregistrering. För att göra detta följer du stegen nedan:

    1. I Active Directory - användare och datorer ansluter du till domänen och väljer sedan Datorer.
    2. Högerklicka på datorkontot för klientdelsservern för webbregistrering och välj sedan Egenskaper.

      Kommentar

      Det här kontot kallas även "datorkontot".

    3. Välj Attributredigerarens>tjänstPrincipalName.
    4. Skriv HTTP/<ConnectionName.<>DomainName.com>, välj Lägg till och välj sedan OK.

      Kommentar

      I den här strängen är ConnectionName> det nya namn som du har definierat och <DomainName> är namnet på domänen. < I exemplet är strängen HTTP/ContosoWebEnroll.contoso.com. Lägg till ett S P N till klientdelsserverns datorkonto.

1. Konfigurera delegeringen

  1. Om du inte redan har anslutit till domänen gör du det nu i Active Directory - användare och datorer och väljer sedan Datorer.

  2. Högerklicka på datorkontot för klientdelsservern för webbregistrering och välj sedan Egenskaper.

    Kommentar

    Det här kontot kallas även "datorkontot".

  3. Välj Delegering och välj sedan Lita på den här datorn för delegering till endast angivna tjänster.

    Kommentar

    Om du kan garantera att klienter alltid använder Kerberos-autentisering när de ansluter till den här servern väljer du Använd endast Kerberos. Om vissa klienter använder andra autentiseringsmetoder, till exempel NTLM eller formulärbaserad autentisering, väljer du Använd valfritt autentiseringsprotokoll.

    Konfigurera delegering på webbserverns datorkonto.

2. Skapa och binda SSL-certifikatet för webbregistrering

Om du vill aktivera webbregistreringssidorna skapar du ett domäncertifikat för webbplatsen och binder det sedan till den första standardwebbplatsen. För att göra detta följer du stegen nedan:

  1. Öppna IIS-hanteraren.

  2. I konsolträdet väljer du <HostName> och sedan Servercertifikat i åtgärdsfönstret.

    Kommentar

    <HostName> är namnet på klientwebbservern. Lägg till ett domäncertifikat för webbplatsen.

  3. I menyn Åtgärder väljer du Skapa ett domäncertifikat.

  4. När certifikatet har skapats väljer du Standardwebbplats och sedan Bindningar.

  5. Kontrollera att porten är inställd på 443. Under SSL-certifikat väljer du sedan det certifikat som du skapade i steg 3. Välj OK för att binda certifikatet till port 443.

    Lägg till certifikat och binda det till port 443.

3. Konfigurera klientdelsservern för webbregistrering så att den använder NetworkService-kontot

  1. Högerklicka på DefaultAppPool och välj sedan Avancerade inställningar.

    Välj Avancerade inställningar för standardprogrampoolen.

  2. Välj Processmodellidentitet>. Kontrollera att det inbyggda kontot är markerat och välj sedan NetworkService. Välj sedan OK.

    Konfigurera programpoolens identitet som det inbyggda NetworkService-kontot.

  3. Leta upp Läs in användarprofil i Avancerade egenskaper och se sedan till att den är inställd på Sant.

    Ange Inläsningsanvändarprofilen till True i inställningarna för framsteg.

  4. Starta om IIS-tjänsten.

Mer information om dessa processer finns i Autentisera webbprogramanvändare.

Mer information om protokolltilläggen S4U2self och S4U2proxy finns i följande artiklar: