10.29.2012 Tim SpringSton.

V tomto článku se pokusím objasnit některé aspekty "nejvíce nepochopitelné dialogové okno v ad", což je karta Delegace v okně Vlastnosti uživatelů služby Active Directory a počítače konzoly Microsoft Management Console (MMC) (DSA.MSC) ). Podíváme se na hodnoty atributů pro různé konfigurace. Pochopení přiřazení parametrů instalace vám umožní správně nakonfigurovat v aplikacích a službách AD pomocí delegace Kerberos

Tim Springston ( [Chráněný emailem]) - Senior Service Engineer technická podpora Pro bezpečnost a autorizaci jsou odpovědné divize technické podpory společnosti Microsoft.

Jeden z nejoblíbenějších technologií Microsoft je ověřování na protokolu Kerberos. Je divné, pokud se domníváme, že se technologie samotná a jeho funkce neprojevila významnými změnami od vydání Windows Server. 2003. A přesto Kerberos zůstává předmětem sestavit další dokumentaci.

Trvalá potřeba studovat technický aspekt práce Kerberos a příčina chyb je způsobena skutečností, že i když se samotná technologie zůstává nezměněna, s využitím svých služeb a metod jeho použití jsou často jedinečné. V každém scénáři však zůstane přiřazení instalačních parametrů Active Directory (AD) a význam chybových zpráv zůstane.

V tomto článku se pokusím objasnit některé aspekty "nejvíce nepochopitelné dialogové okno v ad", což je karta Delegace v okně Vlastnosti uživatelů služby Active Directory a počítače konzoly konzoly Microsoft Management Console (MMC) (DSA. MSc). Podíváme se na hodnoty atributů pro různé konfigurace. Pochopení přiřazení instalačních parametrů vám umožní správně konfigurovat v aplikacích a službách AD pomocí delegace Kerberos.

Jednoduché rozhraní

Proč trávit čas prozkoumat "jednoduché" rozhraní? Je nutné ponořit se do detailů, protože pochopení technického hlediska práce různých parametrů umožní úspěšně opravit chyby v jejich konfiguraci. Začněme proto porozumění významem instalací. Pokud otevřete uživatelé a počítače služby Active Directory Snap a přejděte na vlastnosti účtu počítače, zobrazí se karta delegace delegace (za předpokladu, že váš les je na serveru funkční úrovni). Tato karta je zobrazena na obrazovce 1. Chcete-li vysvětlit přiřazení přepínačů této karty na obrazovce 2, mohou být uvedeny alternativní názvy.

Než se prohloubíte ve smyslu parametrů, vysvětlete, jaká delegace je Kerberos. Delegace (také označovaná jako "personifikace" nebo jednoduchá delegace) je proces přijímání žádosti nebo kerberos vstupenek pro přístup k prostředkům nebo vzdálený počítač Jménem uživatele. Důvěryhodný pro delegaci Essence je služba ÚčetJménem, \u200b\u200bjejichž žádost funguje. Delegace umožňuje aplikaci přistupovat pouze k prostředkům, na které by uživatel měl přístup a poskytovat informace o uživateli. Jako příklad skriptu můžete přivést webový server připojený k SQL Server System pro zobrazení dat potřebných uživatelem k webu klienta.

Dva horní možnosti ("Důvěřujte delegování počítače" a "Důvěřovat počítači Delegovat všechny služby") na obrazovce 1 nevyžadují objasnění. Třetí možností je omezená delegace Delegace Kerberos omezená delegace (KCD), téměř podobná jednoduché delegaci, ale stanoví delegování individuálního osvědčení pouze určených službách nebo počítačům. Tato volba poskytuje více vysoká úroveň BEZPEČNOST, Omezení rozsahu delegování identity ztělesněné uživatele, takže v případě kompromisu servisního certifikátu důvěryhodného pro delegaci jsou důsledky omezeny na schopnost přístup k těmto zdrojům vzdálené serverykteré jsou zvoleny ručně pro omezenou delegaci.

Čtvrtá verze na obrazovce 1 umožňuje KCD a služby pro příponu UPER (nebo S4U). Rozšíření S4U poskytuje širší funkce, jako je změna protokolu. Změna protokolu dochází, když klient nejprve provádí ověřování prostřednictvím jiného protokolu než Kerberos, s příchozími připojení, a pak se přepne do Kerberos. Detailní popis S4U je obsažen v "Průzkum rozšíření S4U Kerberos v dokumentaci systému Windows Server 2003" (msdn.microsoft.com/en-us/Magazine/cc188757.aspx) a "Přechod protokolu s omezenou delegací technický doplněk" (msdn.microsoft.com / en- US / Knihovna / FF650469.aspx). Tyto zdroje jsou zaměřeny na programátory, a nikoli pro správce, ale je také důležité, aby správce pochopil, co je S4U, jak jej vykonávat a kdy je třeba použít. Pro tento účel poskytneme stručný seznam funkcí S4U pro správce.

Získání informací o značce uživatele bez skutečného přijetí této značky a bez obdržení lístku pro udělení vstupenek (TGT) s důvěryhodnou jízdenkou z důvěryhodného uživatele nebo přístupu k údajům o účtu. Získané informace pak mohou být použity například k ověření autorizace. Toto rozšíření je známé jako služby-pro-uživatel-k-self (S4u2self).

Získání vstupenek bez nutnosti obdržet vstupenku Kerberos, bez přístupu k údajům o účtu, přenos TGT nebo bez autentizace - služby-for-for-user-to-proxy (S4U2Proxy).

Provedení dříve uvedené změny protokolu. Klient odvolání na firemní službu zpočátku provádí ověřování pomocí jiné metody než Kerberos a S4U umožňuje důvěryhodné službě přepnout relaci uživatele, která již prošla ověřením k použití Kerberos. Zde se často vyskytují chyby konfigurace způsobené chybami konfigurace, protože aplikační dokumentace často neobsahuje jasné vysvětlení, zda je protokol potřebný a jak jej nakonfigurovat v reklamě. Toto téma je však relevantní, protože dnes není téměř žádný článek, aniž by zmínil "mraky". Klienti připojení přes "cloud" budou nejčastěji aplikovat autentizaci NTLM kvůli nedostatku řadičů domény (DC) požadavků pro vydání letenky Kerberos Service na internetu. Změna protokolu umožňuje uživateli připojit tuto doménu software síťová obrazovka nebo servery proxy pomocí jedné z metod ověřování (například NTLM) a pak přepněte do ověřování Kerberos, abyste mohli provádět další akce uvnitř firemní sítě. Vzhledem k tomu, že "cloud" znamená připojení přes internet, možná nepochybujete, že pokud použijete jakékoli řešení "zataženo", pak dříve nebo později, přijdete na použití změny protokolu Kerberos.

Pod vnějším pouzdrem

Nyní zvažte, co se skutečně stane při instalaci každého z těchto čtyř parametrů, pomocí LDP zobrazení hodnot atributů nastavené pro každou z konfigurací. LDP je nainstalován vpravo od reklamy doménových služeb ve výchozím nastavení a lze jej použít jako nástroj pro zpracování proudu LDAP grafické rozhraní. LDP vám umožní vybudovat své vlastní požadavky LDAP a zobrazit výsledky v pohodlné podobě pro vnímání. Další výhoda použití LDP pro zobrazení hodnot atributů (například UserAccountControl) je přenášet vypočítané hodnoty parametrů na dušenou formou namísto kombinace čísel. Mimochodem, více pozdní verze ADSIEDIT.MSC také zajišťuje podobné zpracování vypočtených hodnot parametrů.

V systému Windows Server 2008 a novější verze Ldp.exe a Adsiedit.msc poskytují automatický překlad Hodnoty atributů (například UserAccountControl), které eliminuje potřebu otevřít Calc.exe a přistupovat k online dokumentaci na MSDN nebo do Microsoft Knowledge Base.

Nyní zvažte změnu hodnot atributů v LDP v závislosti na instalátorech. Začněme s účtem, který není důvěryhodný pro delegaci. Na obrazovce 3 je jasné, že účet Test2 není důvěryhodný a že hexadecimální hodnota 1020 atributu UserAccountCountControl (odpovídá desetinnému bodu 4128) je přeložena do pracovní stanice_trust_account a passwd_notreqd.

Na obrazovce 4 zobrazuje účet svěřené pro delegaci. Vidíme hodnotu atributu UserAccountControlCountControl přeložená do důvěryhodné_for_delegace, což naznačuje rozlišení jednoduché neomezené delegace Kerberos do tohoto certifikátu služby.

Důvěra delegace některých služeb

Následující nastavení jsou klíčové, pokud je určena pro použití S4U nebo KCD. První případ odpovídá volbě důvěryhodného tohoto počítače pouze pro delegaci pouze pro určené služby ("Důvěra tohoto počítače delegovat pouze určené služby") a používat pouze Kerberos ("Použít pouze Kerberos"). Na obrazovce 5 je možné vidět, že s takovou volbou atributu UserAccountCountControl opět přijímá pracovní stanice_trust_account a atribut MSDS-ALLOWNTODEDLEGO je automaticky naplněn vybranými službami, které jsou povoleny delegování. Tento atribut není naplněn žádný jiný postup a není ovlivněn. Jako záznamy uvádí některé služby v počítači, pro které je povolena delegace.

Druhá volba je méně bezpečná - použijte jakýkoliv ověřovací protokol ("Použít libovolný protokol pro ověřování"), což umožňuje změnu protokolu a dalších možností rozšíření. Kromě položek na atributu MSDS-FortingTodelegateTo, toto nastavení změní atribut UserAccountCountControl, který přijímá důvěryhodné_to_authenticate_for_delegation (T2A4D), jak je zobrazeno na obrazovce 6. Bez příznaku T2A4D můžete očekávat chybu změny protokolu. Není použito jiné komponenty v této příznaku. Všimněte si, že tento jednoduchý přepínač je nesmírně důležitý, protože pokud není vybrán, pak se S4u2self, S4U2Proxy a změna protokolu se budou chovat odlišně, což může způsobit problémy pro aplikace a služby, které čekají na příslušné typy vstupenek. Změna protokolu skončí zejména s chybou a jízdenka nebude vydána. S4u2proxy a S4u2self nebude mít žádnou přepositelnou vlajku (přesměrování), což bude mít za následek chybu: pro S4U2Proxy - v každém případě a pro S4u2self - v situacích, kdy potřebujete odeslat letenku na jinou službu nebo uzlu.

"Udělej si sám"

Co se stane, pokud má služba Účet služby používané aplikací nebo službou provést akci, která vyžaduje změnu protokolu a kartu delegování bude nastavena pouze na použití pouze Kerberos ("Použít pouze Kerberos") namísto použití Ověřovací protokol ("Použít libovolný ověřování protokolu")? Pro klientskou aplikaci může chybu přihlásit formulář pro odepření přístupu ("Odepřením přístupu") při pokusu o získání přístupu k síťovým prostředkům nebo může dojít k chybě bez oznámení ověřování NTLM nebo neočekávané chyby závislé na aplikaci. Nejistota projevu chyby dále komplikuje úkol. Nejpravděpodobnější výsledek však bude přístup odepřen ("Odepřen přístup"). V takové situaci se ujistěte, že se naučí dokumentaci aplikace nebo služby a zjistit, zda se protokol změní nebo požadavky na obdržení vstupenky ze služby bez TGT. Problém je v tom, že většina dokumentačních kompilátorů skutečně nechápou význam konfigurace KCD, a proto poskytne dostatečná vysvětlení, nebo jsou obecně náklady bez nich.

Metoda objasnění příčin chyby na principu "DIY" může být jednoduchá sbírka datových trasových dat ze serveru důvěryhodného pro delegaci. Shromážděný datový filtr by Kerberos (Kerberosv5 v Microsoft Network Monitor nebo Kerberos v Wireshark). Žádost o jízdenku pro vydání vstupenky (TGS_REQ) je přenášen do distribučního centra Distribučního centra Kerberos (KDC) a obsahuje parametry KDC s omezenou vlajkou delegace. Pokud odmítnete vydat jízdenku, bude odpověď serveru (TGS_REP) obsahovat chybu KDC_ERR_BAD_OPTION, která je snadno informována o výsledcích trasování sítě.

Více informací o práci implementací Microsoft Kerberos lze nalézt v otevřených protokolech online specifikaci. Rozšíření protokolu Kerberos (msdn.microsoft.com/en-us/Library/cc233855%28v\u003dprot.13%29.aspx) Obsahuje obecnou dokumentaci pro Kerberos a "Prodlužování protokolu Kerberos Protocol: Servis pro uživatelské a omezené specifikace protokolu delegování" ( Msdn.microsoft.com/en-us/library/cc246071%28v\u003dprot.13%29.aspx) - Dokumentace o omezené delegaci Kerberos a S4U.

Perfektní svět

Doufám, že výše uvedená analýza nastavení v okně rozhraní Kerberos a jejich korespondence v reklamě vám pomohou lépe pochopit jejich význam. Ideální by mohl být svět, ve kterém by dokumentace spravovaných služeb obsahovalo technický průvodce správné nastavení Pro ověřování. Pokud však realita není zdaleka ideální, tyto informace by měly pomoci zlepšit svůj nástroj. Pochopení technického aspektu práce parametrů bude klíčem k úspěchu.

2 odpovědi

vyřešen.

První polovina byla můj přetlak. Druhá polovina ... no, nemám slovo o tom, co bylo špatné. Ve skutečnosti to není chyba, nebo neslučitelnost, ale něco je velmi nepříjemné, přerušované a těžké pochopit. První, shrnutí, a pak vysvětlení délky pro ty, kteří se zajímají:

I přes věty chybových zpráv, to není problém s koncepčním modelem (CSDL), ale problém porovnání sloupců, který se znovu vytvořil s přerušením.

Koncepční model byl postaven pomocí EDMXWriter pro syntaktickou analýzu DBContext a jeho hlavní části.

Model byl pak použit pro generování SQL skriptů pro přenos obvodu do nové databáze. Zaměření je, že databáze je Oracle.

Oracle je dítě a nepřijímá dlouhé názvy sloupců. Tak, generované skripty EDMX a SQL musely být upraveny tak, aby vytvořily a porovnávaly části konceptuálního modelu se zkrácenými názvy sloupců.

Není to velký problém. Funguje to dobře. Tak kde se všechno pokazilo?

Oracle nepodporuje "kód první". A i když to bylo prováděno ručně, použití EDMXWriter je kód kódu v Oracle. Proto, když byl první schéma EDMX demontováno, to biála na logických srovnávání. Rozhodnutí bylo dočasně odstranit bools z mých modelů C #, přidat je do EDMX ručně a mapovat web.config Oracle (mapování Bool na číslo (1.0)).

Opět Groovy. Ale proč pokračuje v opakování?

V různých časech v průběhu rozvojového procesu, některé konce dohody - buď C #, EDMX nebo Oracle se změní. A pokaždé, když se zdá, sloupce byly automaticky přeřazeny a já jsem nevěděl. Pokud byl model EDMX aktualizován z Oracle, srovnatelné indikovalo vlastnosti C #, které nebyly (krátké názvy sloupců). Pokud byl model aktualizován z C # kód, mapování nebylo uloženo a snažili se porovnat dlouhá jména sloupců, které nebyly v Oracle.

Chyba s tímto přístupem (první první hybridní kód a model) je, pokud chci pokračovat v ovládání vlastních modelů a zpracovat nastavení nezbytná pro malý postoj k dítěti, musím být velmi opatrný a postupujte podle vlastnosti souboru EDMX .

Stránky, aplikace, hry - informační zdroje, které jsou spravovány uživateli. Pro rozdělení povolených a zakázaných operací pro jeden nebo jiný uživatel akce se používají přístupová práva (PD). Rozsah rolí PD formulářů. Například podívejte se na základní místo s možností registrace.

Na těchto stránkách "Live" 3 role se svými právy a povinnostmi:

1.

V této roli fungují všechny anonymní výchozí hodnoty. Pokud se oblékáme hosty webu správným "přidáním komentářů", pak uživatel, který přišel na web, bude moci komentovat váš zájem. A pokud ne, pak komentovat obsahu se budete muset nejprve zaregistrovat.

2.

Minulé ověřování a autorizace Anonymous Get nová role. Mohou spravovat pouze autorizovaní uživatelé osobní účet, Přidat a upravovat osobní data, zobrazit informace o jiných znakech. Neregistrovaní uživatelé nemají právo na tyto operace.

3. Správce

Tato výchozí role poskytuje uživateli plný přístup k webu. Administrátor zdrojů přidává, odstraňuje bloky a dává nebo odeberte od ostatních uživatelů právo na přístup k jednomu nebo jinému funkčnosti.

Jak testovat a co věnujete pozornost?

Nejdříve se pokusíme odstranit "Super-admin", přehrávání s nastavením.

• Vytvořit bezpečný znak

Chcete-li se přiblížit na reálné aktivity na projektu, je dostatek dalších uživatelů s podobnými správními pravomocemi. A již tyto znaky testujeme zdroj a změníme oprávnění pro přístup ostatních uživatelů.

• Zkontrolujte několik prohlížečů

Současně děláme: v jednom upravit PD, v jiném zkontrolujete použití práv pro uživatele, čímž se sdílíte relace uživatele.

• Procházíme přímým odkazem

Omezení testovacího bloku, pohybující se na nich Adresa URL.. Zobrazení některých údajů o zdroje by neměly být nedostupné odkazem pro neautorizované hostovací místo. Pokud je přístup omezen, pak je vše v pořádku: namísto uzavřených informací, anonymní obdrží varovnou zprávu ve formě speciální stránky, nejčastěji s kódem 403.

• Testujeme blokování entit

Pro zdroje, jako jsou vstupenky na vstupenky a výlety, je důležité blokovat položku, když ji může okamžitě přistupovat několik uživatelů. Existují dva možnosti blokování:

+ Optimistické blokování Při ukládání kontroluje databázi pro více nová verze Data zanechaná jiného uživatele. Pokud ano, pak aktuální uživatel aktualizuje tuto instanci entity.

+ Pesimistický blokování Subjekty se používají, když optimistická generuje příliš mnoho kolizí. V tomto případě pouze jeden uživatel v současné době používá a mění tato volba Subjekty.

Lze testovat z jednoho počítače v několika prohlížečích nebo různých účtech.

• Používáme testovací matrici

Zjednodušuje práci testeru, jasně ukazuje povolené a zakázané akce a to prostě pomáhá nechat nic nechynout. Malujeme v něm všechny role, uživatele, variace omezení možností našich postav.

A zde je nejjednodušší příklad testovací matice:

Řízení přístupu je jedním z hlavních kontrol v rámci. Dokonce i kontrola místa místní knihovny se třemi rolemi čelí testu obtíží. Ale populární zdroje s desítkami rolí, tisíce uživatelů a miliony povolení vyžadují celou armádu správců! Je pro nás těžké si představit rozsah poškození, pokud testování vezme dileta. Přilákat kompetentní specialisty a neumožňují prostory bezpečné vaše produkty!