10.29.2012 Tim Springston

Ebben a cikkben megpróbálom tisztázni bizonyos szempontból a „leginkább érthetetlen párbeszédablak az AD”, amely a küldöttség fülre a tulajdonságok ablakban az Active Directory felhasználók és számítógépek Microsoft Management Console (MMC) (Dsa.msc ). Megnézzük a különböző konfigurációk attribútumértékeit. A telepítési paraméterek hozzárendelésének megértése lehetővé teszi, hogy helyesen állítsa be az AD alkalmazásokban és szolgáltatásokat a Kerberos küldöttségével

Tim Springston ( [E-mail védett]) - Senior szervizmérnök műszaki támogatás A Microsoft kereskedelmi technikai támogatási megosztása felelős a biztonságért és az engedélyért.

A Microsoft Technology egyik leginkább vitatott, a Kerberos protokoll hitelesítése. Furcsa, ha úgy véljük, hogy maga a technológia és annak feladata nem volt jelentős változások a kibocsátás óta Windows szerver 2003. És mégis Kerberos továbbra is a kiegészítő dokumentáció összeállítása.

Állandó szükség van a Kerberos munkájának technikai szempontjainak és a hibák okainak oka annak a ténynek, hogy bár a technológia maga is változatlan marad, a szolgáltatásai és a felhasználás módszerei gyakran egyediek. Mindegyik forgatókönyvben azonban az Active Directory (AD) telepítési paraméterek hozzárendelése és a hibaüzenetek jelentése továbbra is fennáll.

Ebben a cikkben megpróbálom tisztázni bizonyos szempontból a „leginkább érthetetlen párbeszédablak az AD”, amely a küldöttség fülre a tulajdonságok ablakban az Active Directory felhasználók és számítógépek Microsoft Management Console Console (MMC) (DSA. MSc). Megnézzük a különböző konfigurációk attribútumértékeit. A telepítési paraméterek hozzárendelésének megértése lehetővé teszi, hogy a Kerberos küldöttségét használó hirdetési alkalmazásokat és szolgáltatásokat megfelelően konfigurálhassa.

Egyszerű felület

Miért tölthet időt az "egyszerű" felület felfedezésére? Szükség van a részletekre, mivel a különböző paraméterek munkájának technikai szempontjának megértése sikeresen lehetővé teszi a konfiguráció hibáinak helyesbítését. Ezért kezdjük megérteni a létesítmények jelentését. Ha megnyitja az Active Directory felhasználók és számítógépek beépülő és megy a tulajdonságait a számítógépes számla, akkor látni fogja a küldöttség küldöttség lap (feltéve, hogy az erdő áll a Server 2003 működési szint). Ez a lap a képernyőn látható. 1. A lapot a 2. képernyőn lévő kapcsolók hozzárendelésének megmagyarázásához az alternatív neveket megadhatjuk.

Mielőtt elmélyítené a paraméterek értelmében, magyarázza el, hogy a küldöttség Kerberos. A küldöttség (a "személyiség" vagy az egyszerű küldöttség) az alkalmazás vagy a Kerberos jegyszolgáltatás elérésének folyamata az erőforrások eléréséhez vagy távoli számítógép A felhasználó nevében. A delegációra bízott lényeg a szolgáltatás számla, amelynek nevében az alkalmazás működik. A küldöttség lehetővé teszi az alkalmazás számára, hogy csak azokat a forrásokat érje el, amelyekhez a felhasználó hozzáférhet és a felhasználói információkat. Példaként a forgatókönyvet, akkor hozhat egy web szerver csatlakozik az SQL Server rendszer megjeleníti a felhasználó szükség van az adatok webes kliens.

Két felső opció ("Ne bízz a számítógép küldöttségére" és a "bizalom a számítógép delegációja bármely szolgáltatásokat") az 1. képernyőn nem igényel tisztázást. A harmadik lehetőség a Kerberos korlátozott küldöttség (KCD) korlátozott delegációja, majdnem hasonló az egyszerű küldöttséghez, de az egyedi tanúsítvány küldöttségét csak meghatározott szolgáltatásokra vagy számítógépekre küldi. Ez az opció több magas szint Biztonság, amely korlátozza a személyazonosító személyazonosságának átruházásának hatályát, így a felhatalmazás iránt megbízott szolgáltatási igazolás kompromisszuma esetén a következmények csak azokra a forrásokra való hozzáférésre korlátozódnak távoli kiszolgálókamelyek manuálisan vannak kiválasztva a korlátozott küldöttséghez.

A negyedik verzió az 1-es képernyőn lehetővé teszi a KCD és a szolgáltatások felsõ (vagy S4U) kiterjesztését. Az S4U kiterjesztés szélesebb körű funkciókat biztosít, például a protokoll változása. A protokoll megváltoztatása akkor fordul elő, ha az ügyfél először a Kerberos-tól eltérő protokollon keresztül végzi a hitelesítést, bejövő kapcsolattal, majd átkapcsolja a Kerberos-t. Részletes leírás Az S4U a "Windows Server 2003" dokumentációban található "MSDN.Microsoft.com/en-us/magaszin/c188757.aspx) és" protokoll átmenet korlátozott küldöttségű műszaki kiegészítéssel "(MSDN.Microsoft.com / us-US / könyvtár / ff650469.aspx). Ezek az erőforrások a programozókra koncentrálnak, és nem a rendszergazdákra, de fontos, hogy az adminisztrátor megértse, mi az S4U, hogyan kell végrehajtani, és ha kell használni. Ebből a célból rövid listát adunk az S4U funkciókról a rendszergazda számára.

Információ megszerzése a felhasználó marker nélküli tényleges kézhezvételét marker nélkül kapó jegymegadási jegyet (TGT) jegyet egy megbízható Jegyiroda jegyet egy bízva felhasználó vagy az azokhoz való hozzáférési adatokat. A kapott információt például az engedélyezés ellenőrzéséhez használhatjuk. Ez a kiterjesztés szolgáltatás-for-for-for-user-self (S4U2sel) néven ismert.

Megszerzése jegyeket anélkül, hogy megkapja a Kerberos közüzemi jegy nélkül hozzáférést számla adatok TGT átviteli vagy hitelesítés nélkül - Szolgáltatások-for-user-to-proxy (S4U2Proxy).

A korábban említett protokollváltozás végrehajtása. Az ügyfél fellebbez a vállalati szolgáltatásra, amelyet eredetileg a Kerberos-tól eltérő módszerrel végez hitelesítést, és az S4U lehetővé teszi a megbízható szolgáltatás számára, hogy átkapcsolja a már átadott hitelesítést a Kerberos használatára. Itt van, hogy a konfigurációs hibák okozta konfigurációs hibák gyakran fordulnak elő, mivel az alkalmazás dokumentációjában gyakran nem tartalmaz egyértelmű magyarázatot arra vonatkozóan, hogy a protokollra van szükség, és hogyan kell beállítani, hogy az AD. Ez a téma azonban releváns, mivel ma szinte nincs cikk a "felhők" megemlítése nélkül. A "felhő" keresztül csatlakozó ügyfelek leggyakrabban az NTLM hitelesítést alkalmazzák a tartományvezérlők (DC) feldolgozási kérelmének köszönhetően a Kerberos szolgáltatási jegy kiadása érdekében az interneten. A protokoll módosítása lehetővé teszi a felhasználó számára, hogy csatlakoztassa ezt a tartományt szoftver hálózati képernyő vagy proxy szerverek az egyik hitelesítési módszerrel (például NTLM), majd kapcsolja át a Kerberos hitelesítést, hogy további lépéseket hajtson végre belül vállalati hálózat. Mivel a "felhő" azt jelenti, hogy az interneten keresztül csatlakozik, akkor nem kétséges, hogy ha bármilyen "felhős" megoldást használ, akkor előbb-utóbb a Kerberos protokoll módosításának használatára kerül sor.

A külső burkolat alatt

Most vegye figyelembe, hogy mi történik, ha mindegyik négy paramétert telepít, az LDP-t az egyes konfigurációkhoz beállított attribútumértékek megtekintésével. Az LDP alapértelmezés szerint a Domain Services hirdetésének jobb oldalán található, és LDAP áramfeldolgozó eszközként használható grafikus felület. Az LDP lehetővé teszi a saját LDAP kéréseinek felépítését, és az eredményeket kényelmes formában tekintheti meg az észleléshez. Az LDP használatának további előnye az attribútumértékek (például a userAccountControl) megtekintéséhez az, hogy a számított paraméterértékeket a számok kombinációja helyett a párolt formára továbbítsa. By the way, több késői változatok Az ADSEDIT.MSC a számított paraméterértékek hasonló feldolgozását is biztosítja.

Így a Windows Server 2008 és az LDp.exe és az Adsiedit.msc újabb verzióiban automatikus fordítás Attribútumértékek (például userAccountControl), amely kiküszöböli a Calc.exe és az Online dokumentáció megnyitását az MSDN-n vagy a Microsoft Tudásbázishoz.

Most tekintse meg az LDP attribútumértékének megváltoztatását, a telepítőktől függően. Kezdjük egy olyan fiókkal, amely nem megbízható a küldöttségben. A 3. képernyőn világos, hogy a Test2-fiók nem megbízható, és hogy a useAccountcontrol attribútum 1020 hexadecimális értéke (a tizedes 4128-nak felel meg) a munkaállomás_trust_account és passwd_notreqd.

A 4 képernyőn a küldöttségre bízott fiókot mutatja be. Láthatjuk a userAccountControl attribútum értéke lefordították trusted_for_delegation, jelezve a felbontás az egyszerű korlátlan delegáció Kerberos ezt a szolgáltatást tanúsítványt.

Bizonyos szolgáltatásokba való felhatalmazás

A következő beállítások döntő fontosságúak, ha az S4U vagy a KCD használatára szolgál. Az első eset megfelel a bizalom megválasztásának, hogy ezt a számítógépet csak a megadott szolgáltatásokra küldött küldöttségre ("Trust Ez a számítógép csak a megadott szolgáltatásokat küldje el"), és csak Kerberos-t használjon ("Csak Kerberos"). Az 5-ös képernyőn látható, hogy a SUFERACCOUtControl attribútum ilyen választékával ismét megkapja a Workstation_Trust_account, és az MSDS-allowntodelegto attribútum automatikusan kitölti a kijelölt küldöttséget. Ezzel az attribútummal nincs más eljárás, és nem érinti. Mivel a nyilvántartások felsorolják a számítógépen található egyes szolgáltatásokat, amelyekre a küldöttség megengedett.

A második lehetőség a kevésbé biztonságos - Használjon bármilyen Authentication Protocol ( „Ne használjon olyan protokoll hitelesítés”), amely lehetővé teszi a változást a protokoll és más bővíthető. Az MSDS-megengedettTodelegateto attribútumban található bejegyzések mellett ez a beállítás megváltoztatja a UserAccountControl attribútumot, amely a Trusted_To_Authenticate_for_Delegation (T2A4D), amint azt a képernyőn megjelenik. Ebben a zászlóban nincs más alkatrész. Megjegyzendő, hogy ez az egyszerű kapcsoló rendkívül fontos, mert ha ez nincs bejelölve, akkor S4U2SELF, S4U2Proxy, és a változás protokoll másként viselkednek, ami problémákat okozhat az alkalmazások és szolgáltatások váró érintett típusú jegyek. Különösen a protokoll változása hibával ér véget, és a jegyet nem adják ki. Az S4U2Proxy és az S4U2Self nem lesz jogosult lobogója (átirányítás), ami hibát eredményez: az S4U2Proxy - mindenesetre, és az S4U2self - a helyzetekben, amikor küldjön jegyet egy másik szolgáltatásra vagy csomópontra.

"Csináld magad"

Mi történik, ha az alkalmazás vagy a szolgáltatás által használt szolgáltatás szolgáltatási beszámolása olyan műveletet kell végrehajtania, amely a protokoll módosítását igényli, és a küldöttség lapot csak a Kerberos használatára (csak "csak Kerberos") kell megadni Hitelesítési protokoll ("Használja a protokoll hitelesítést")? Az ügyfélalkalmazáshoz hiba léphet fel a hozzáférés megtagadott űrlapot ("megtagadott hozzáférés"), ha megpróbál hozzáférni a hálózati erőforrásokhoz, vagy hiba léphet fel NTLM hitelesítés vagy váratlan alkalmazásfüggő hiba nélkül. A hiba megnyilvánulásának bizonytalansága tovább bonyolítja a feladatot. A legvalószínűbb eredmény azonban hozzáférést fognak tagadni ("elutasított hozzáférés"). Ilyen helyzetben győződjön meg róla, hogy megtanulja az alkalmazás vagy szolgáltatás dokumentációját, és megtudja, hogy a protokoll módosítása vagy kérései a TGT nélküli szolgáltatásról szóló jegyéről nem kerülnek-e. A probléma az, hogy a dokumentációs fordítók többsége valóban nem érti a KCD konfiguráció jelentését, és ezért elégtelen magyarázatot ad, vagy ezek általában költségek nélkül.

A hiba okainak tisztázására szolgáló módszer a "DIY" elvén a "DIY" elvének egyszerű gyűjteménye lehet a hálózati nyomkövetési adatoknak a delegációra megbízott kiszolgálóból. Összegyűjtött adatszűrőt Kerberos (Kerberosv5 a Microsoft Network Monitorban vagy a Wiresharkban). Kérelem jegyet jegyet kiállító (TGS_REQ) továbbítunk a Kerberos (KDC) AD gomb elosztó központ és paramétereket tartalmazza a KDC a korlátozott felhatalmazás zászlót. Ha megtagadja a jegy kiadása, a kiszolgáló válasz (TGS_REP) tartalmaz egy hiba kDC_ERR_BAD_OPTION-t, amely könnyen észrevehető a hálózati nyomkövetés eredményeiben.

További információ a Microsoft Kerberos implementációk munkájáról a nyílt protokollok online specifikációjában található. Kerberos protokollbővítmények (MSDN.Microsoft.com/en-us/library/cc233855%28v\u003dProt.13%29.aspx) Általános dokumentáció a Kerberos és a "Kerberos protokollbővítmények: Szerviz felhasználói és korlátozott küldöttségi protokoll specifikáció" ( Msdn.microsoft.com/en-us/library/cc246071%28v\u003dprot.13%29.aspx) - A Kerberos és az S4U korlátozott küldöttségére vonatkozó dokumentáció.

Tökéletes világ

Remélem, hogy a Kerberos interfészablakban lévő beállítások fenti elemzése és a hirdetési levelei segítenek abban, hogy jobban megértsük jelentését. Ideális lehet olyan világ lehet, amelyben a beadott szolgáltatások dokumentálása a technikai vezetőt tartalmazza megfelelő beállítás Hitelesítéshez. Azonban, ha a valóság messze nem ideális, akkor ezeknek az információknak segíteniük kell az eszközkészlet javítását. A paraméterek munkájának technikai szempontjának megértése a siker kulcsa lesz.

2 válasz

megoldott.

Az első félidő volt a túlnyomásom. A második félidő ... Nos, nincs szó arról, hogy mi volt a baj. Valójában ez nem hiba, vagy inkompatibilitás, de valami nagyon kényelmetlen, szakaszos és nehéz megérteni. Először is, az összefoglaló, majd a magyarázata azoknak, akik gondoskodnak:

A hibaüzenetek mondatainak ellenére ez nem jelent problémát a koncepcionális modell (CSDL), hanem az oszlopok összehasonlításának problémája, amely megszakításokkal újratelepítette magát.

A fogalmi modellt az EDMXWriter segítségével építették a DBContext Syntactic analízissel és fő részeihez.

A modellt ezután SQL szkriptek létrehozására használták az áramkör új adatbázisba történő átviteléhez. A hangsúly az, hogy az adatbázis az Oracle.

Az Oracle gyermek, és nem fogad el hosszú oszlopneveket. Így a generált EDMX és SQL parancsfájlokat módosítani kellett a fogalmi modell alkatrészeinek létrehozására és összehasonlítására rövidített oszlopnevekkel.

Nem nagyon nagy ügy. Jól működik. Szóval hol ment mindent rosszul?

Az Oracle nem támogatja a "kódot". És bár manuálisan történt, az EDMXWriter használata az Oracle kódszinte. Ezért, ha az első EDMX-sémát lebontották, a logikai összehasonlításokra bocsátották. A döntés az volt, hogy ideiglenesen eltávolítsa a boolokat a C # modellekből, add hozzá az EDMX-hez manuálisan, és a web.config Oracle feltérképezéséhez (Mapping Bool szám (1.0)).

Ismét groovy. De miért továbbra is ismételje meg?

Különböző időpontokban az egész fejlesztési folyamat, néhány végén a megállapodás - akár C #, EDMX vagy Oracle változás. És minden alkalommal, amikor úgy tűnik, az oszlopokat automatikusan áthelyezték, és nem tudtam. Ha az EDMX modellt az Oracle-ről frissítették, az összehasonlítható jelezte a C # tulajdonságait, amelyek nem voltak (rövid oszlopnevek). Ha a modellt a C # kódról frissítették, a leképezés nem mentett meg, és megpróbálták összehasonlítani az ORACLE-ben lévő oszlopok hosszú nevét.

Hiba ezzel a megközelítéssel (először az első hibrid kód és modell), ha továbbra is szeretném irányítani a saját modelljeimet, és kezelni kell a kis hozzáálláshoz szükséges beállításokat, nagyon óvatosnak kell lennem, és kövessem az EDMX fájl jellemzőjét .

Helyszínek, alkalmazások, játékok - Információs erőforrások, amelyeket a felhasználók kezelnek. Osztani a megengedett és tiltott tevékenységek egyik vagy másik felhasználó a cselekvés, a hozzáférési jogok (PD) használnak. A PD formanyomtatvány. Például nézd meg az alapvető webhelyet a regisztráció lehetőségével.

Ezen az oldalon az "Élő" 3 szerepet játszik jogaikkal és kötelezettségeivel:

1.

Minden névtelen alapértelmezés működik ebben a szerepben. Ha a helyszín vendégeit a jobb oldali "hozzászólásokhoz", akkor a webhelyre jött felhasználó képes lesz megjegyezni az Ön érdeklődését. És ha nem, akkor a tartalom megjegyzésére, amelyet először regisztrálnia kell.

2.

A múltbeli hitelesítés és az engedélyezés névtelenül Új szerep. Csak az engedélyezett felhasználók kezelhetők személyes fiók, Adja meg és szerkessze személyes adatokat, nézze meg az információkat más karakterekről. A regisztrálatlan felhasználóknak nincs joga ezekre a műveletekre.

3. Adminisztrátor

Ez az alapértelmezett szerep a felhasználó számára teljes hozzáférést biztosít a webhelyhez. Az erőforrás rendszergazda hozzáteszi, eltávolítja a blokkokat, és elviszi a többi felhasználótól, hogy hozzáférjen egy vagy egy másik funkcióhoz.

Hogyan teszteljük és mit figyelsz?

Először is megpróbáljuk eltávolítani a "Super-admin" -t, a beállításokkal.

• Hozzon létre biztonságos karaktert

Ahhoz, hogy közelebb kerüljenek a projekt valós tevékenységeivel, elegendő további felhasználó van hasonló adminisztratív hatáskörrel. És már ezek a karakter, teszteljük az erőforrást, és megváltoztatjuk a többi felhasználó hozzáférésének engedélyét.

• Ellenőrizze több böngészőben

Egyidejűleg: az egyikben módosítjuk a PD-t, a másikban ellenőrizze a felhasználók jogosultságát, ezáltal megosztja a felhasználói munkameneteket.

• Közvetlen linksel haladunk át

Tesztblokk korlátozások, mozgó rájuk URL-cím. Egyes erőforrás-adatok megtekintése A jogosulatlan vendégoldali referenciaként nem érhető el. Ha a hozzáférés korlátozott, akkor minden rendben van: a zárt információ helyett a névtelen figyelmeztető üzenetet kap egy speciális oldal formájában, leggyakrabban a 403-as kóddal.

• Teszteljük az entitások blokkolását

Az erőforrásokhoz, mint például jegyek jegyek és túrák, fontos, hogy blokkolja az elemet, ha több felhasználó azonnal hozzáférhet. Két blokkoló lehetőség van:

+ Optimista blokkolás A mentés során az adatbázist többet ellenőrzi új verzió Egy másik felhasználó által hagyott adatok. Ha ez az, akkor az aktuális felhasználó frissíti a gazdálkodó egység példáját.

+ Pesszimista blokkolás Az optimisták túl sok ütközést okoznak. Ebben az esetben csak egy felhasználó használja és módosítja ez az opció Entitások.

Egy számítógépről több böngészőben vagy különböző fiókban tesztelhető.

• Vizsgálati mátrixot használunk

Megegyesíti a tesztelő munkáját, egyértelműen megengedett és tiltott cselekvéseket mutat, és csak segít, hogy ne hagyjon ki semmit. Az összes szerepet, a felhasználókat, a karaktereink lehetőségeinek korlátozását festjük.

És itt van a tesztmátrix legegyszerűbb példája:

A hozzáférés-szabályozás az egyik fő ellenőrzés. Még a helyi könyvtár honlapjának ellenőrzése, három szerepkörrel szemben a nehézségek tesztelésével. De a népszerű források több tucat szerepet töltenek be, ezer felhasználók és több millió engedély szükségessé teszik az egész hadsereget a rendszergazdáknak! Nehéz számunkra elképzelni a károsodás mértékét, ha a tesztelés elviseli a dilettet. Vonzza az illetékes szakembereket, és ne engedélyezze a szóközöket a termékeinek biztonságossá tételéhez!