1C tohto používateľa bez prístupných rolí. Najkomplexnejšie dialógové okno v službe Active Directory

10.29.2012 Tim Springston

V tomto článku sa budem snažiť objasniť niektoré aspekty "najkomplexnejšieho dialógového okna v ad", čo je karta delegácie v okne vlastností používateľov služby Active Directory (Microsoft Management Console (MMC) (DSA.MSC) ). Pozrieme sa na hodnoty atribútov pre rôzne konfigurácie. Pochopenie priradenia parametrov inštalácie vám umožní správne nakonfigurovať v reklamných aplikáciách a službách pomocou delegovania Kerberos

Tim Springston ( [Chránené e-mail]) - Senior Service Engineer technická podpora Výzvy komerčnej technickej podpory v spoločnosti Microsoft zodpovedá za bezpečnosť a autorizáciu.

Jedným z najčastejšie diskutovaných v technológii spoločnosti Microsoft je autentifikácia protokolu Kerberos. Je divné, ak sa domnievame, že samotná technológia a jeho funkcie neprekrovali významné zmeny od uvoľnenia Windows Server 2003. A zatiaľ stále Kerberos zostáva predmetom kompilácie dodatočnej dokumentácie.

Trvalá potreba študovať technický aspekt práce Kerberos a príčina chýb je spôsobená skutočnosťou, že hoci samotná technológia zostáva nezmenená, s využitím svojich služieb a metód jej používania sú často jedinečné. V každom scenári však zostáva priradenie parametrov inštalácie služby Active Directory (AD) a význam chybových hlásení.

V tomto článku sa budem snažiť objasniť niektoré aspekty "najkomplexnejšie dialógové okno v AD", čo je karta delegácie v okne vlastností používateľov služby Active Directory a počítačoch Console Microsoft Management Console (MMC) (DSA. MSC). Pozrieme sa na hodnoty atribútov pre rôzne konfigurácie. Pochopenie priradenia parametrov inštalácie vám umožní správne nakonfigurovať v reklamných aplikáciách a službách pomocou delegácie Kerberos.

Jednoduché rozhranie

Prečo tráviť čas preskúmať "jednoduché" rozhranie? Je potrebné ponoriť sa do detailov, pretože pochopenie technického hľadiska práce rôznych parametrov umožní úspešne opraviť chyby v ich konfigurácii. Poďme preto s pochopením významu zariadení. Ak otvoríte používateľov služby Active Directory a počítače a prejdite na vlastnosti účtu počítača, uvidíte kartu Delegácie delegácie (za predpokladu, že váš les je na úrovni funkčnej úrovne servera 2003). Táto karta sa zobrazí na obrazovke 1. Ak chcete vysvetliť priradenie spínačov tejto karty na obrazovke 2, môžu byť uvedené alternatívne mená.

Pred prehĺbením v zmysle parametrov vysvetlite, čo je delegácia Kerberos. Delegácia (tiež označovaná ako "Personifikácia" alebo jednoduchá delegácia) je proces prijímania žiadosti alebo spoločnosti Kerberos Ticket Service na prístup k zdrojom alebo vzdialený počítač V mene používateľa. Dôveryhodná pre esenciu delegácie je služba Účetv mene ktorého žiadosť funguje. Delegácia umožňuje, aby sa žiadosť o prístup len na zdroje, na ktoré by mal užívateľ prístup a dodať informácie o používateľovi. Ako príklad skriptu, môžete priniesť webový server pripojený k systému SQL Server, aby ste zobrazili používateľom potrebné údaje na webový klient.

Dve horné možnosti ("Nedôverujte počítačovej delegácii" a "Trust počítaču delegovať akékoľvek služby") na obrazovke 1 nevyžadujú objasnenie. Tretia možnosť je obmedzená delegácia delegácie Kerberos (KCD), takmer podobná jednoduchej delegácii, ale stanovuje delegáciu individuálneho certifikátu len na špecifikované služby alebo počítače. Táto možnosť poskytuje viac vysoký stupeň Bezpečnosť, obmedzenie rozsahu delegovania totožnosti osobitného používateľa, takže v prípade kompromisu osvedčenia o službách, ktoré sú dôveryhodné pre delegáciu, sú dôsledky obmedzené na schopnosť prístupu len k týmto zdrojom vzdialené serveryktoré sú vybrané ručne pre obmedzenú delegáciu.

Štvrtá verzia na obrazovke 1 umožňuje KCD a Služby pre UPER (alebo S4U) rozšírenie. Rozšírenie S4U poskytuje širšie funkcie, ako napríklad zmena protokolu. Zmena protokolu sa vyskytuje, keď klient prvýkrát vykoná autentifikáciu prostredníctvom protokolu iného ako Kerberos, pričom prichádzajúce pripojenie a potom sa prepne na Kerberos. Detailný popis S4U je obsiahnutý v "Preskúmanie S4U Kerberos rozšírení v dokumentácii Windows Server 2003" (MSDN.MICROSOFT.com/en-us/magazine/cc188757.aspx) a "Prechod protokolu s obmedzeným delegáciou Technický doplnok" (MSDN.MICROSOFT.com / EN-US / Knižnica / FF650469.aspx). Tieto zdroje sú zamerané na programátorov, a nie na administrátorov, ale je to tiež dôležité, aby správca pochopil, čo S4U je spôsob, ako ju vykonávať a kedy by sa mal použiť. Na tento účel dávame stručný zoznam funkcií S4U pre správcu.

Získanie informácií o značke používateľa bez skutočného prevzatia tejto značky a bez toho, aby dostali lístok na lístok vstupeniek (TGT) s trustovým systémom vstupeniek vstupeniek z dôveryhodného používateľa alebo prístupu k údajom o účte. Získané informácie sa potom môžu použiť napríklad na overenie povolenia. Toto rozšírenie je známe ako služby-pre-user-to-self (S4U2self).

Získanie cestovných lístkov bez nutnosti získať Kerberos Utility Ticket, bez prístupu k údajom účtu, prenosu TGT alebo bez autentifikácie - Služby-pre-user-to-proxy (S4U2Proxy).

Vykonávanie predtým uvedenej zmeny protokolu. Klient apeluje na firemnú službu spočiatku vykonáva autentifikáciu pomocou inej metódy ako Kerberos a S4U umožňuje, aby dôveryhodná služba prepínať reláciu používateľa, ktorá už schválila autentifikáciu na používanie Kerberos. Vyskytujú sa tu, že konfiguračné chyby spôsobené chybou konfigurácie často vyskytujú, pretože dokumentácia aplikácie často neobsahuje jasné vysvetlenia, či je protokol potrebný a ako ho konfigurovať v reklame. Táto téma je však relevantná, pretože dnes neexistuje takmer žiadny článok bez toho, aby sa uvádzali "mraky". Klienti spájajúci cez "Cloud" budú najčastejšie aplikovať autentifikáciu NTLM z dôvodu nedostatku žiadostí o spracovanie domény (DC) na vydanie služby Kerberos Service Ticket na internete. Zmena protokolu Umožňuje používateľovi pripojiť túto doménu softvér sieťová obrazovka alebo proxy servery pomocou jedného z metód autentifikácie (napríklad NTLM) a potom prepnite do autentifikácie Kerberos, aby ste mohli vykonávať ďalšie akcie vo vnútri firemná sieť. Vzhľadom k tomu, "cloud" znamená pripojenie cez internet, nemusíte pochybovať o tom, že ak používate akékoľvek "zakalené" riešenie, potom skôr alebo neskôr prídete na použitie zmeny protokolu Kerberos.

Pod vonkajším plášťom

Teraz zvážte, čo sa skutočne stane, keď nainštalujete každý z týchto štyroch parametrov, pomocou LDP prezeranie hodnôt atribútov nastavených pre každú z konfigurácií. LDP je nainštalovaný vpravo od reklamy doménových služieb v predvolenom nastavení a môže byť použitý ako nástroj na spracovanie aktuálneho spracovania LDAP grafické rozhranie. LDP vám umožňuje vytvoriť vlastné požiadavky LDAP a zobraziť výsledky v pohodlnej forme pre vnímanie. Ďalšia výhoda použitia LDP na zobrazenie hodnôt atribútov (napríklad UserAccountCountControl) je preniesť hodnoty vypočítaných parametrov na dusenú formu namiesto kombinácie čísel. Mimochodom, viac neskoré verzie Adsiedit.msc tiež zabezpečuje podobné spracovanie vypočítaných hodnôt parametrov.

Tak, v systéme Windows Server 2008 a novších verziách LDP.EXE a adsiedit.msc automatický preklad Hodnoty atribútov (napríklad UscacountCountControl), ktorý eliminuje potrebu otvoriť Calc.exe a Access Online Dokumentáciu na MSDN alebo do znalostnej základne Microsoft.

Teraz zvážte zmenu hodnôt atribútov v LDP v závislosti od inštalátorov. Začnime s účtom, ktorý nie je dôveryhodný pre delegáciu. Na obrazovke 3 je zrejmé, že účet Test2 nie je dôveryhodný a že hexadecimálna hodnota 1020 Atribútu UsAccountCountCountconTROL (zodpovedá desatinnému 4128) je preložené do pracovnej stanice_trust_Account a passwd_notreqd.

Na obrazovke 4 znázorňuje účet zverený pre delegovanie. Môžeme vidieť atribút Atribút UsporcountCountControl preložený do Trusted_for_Delegation, čo naznačuje rozlíšenie jednoduchej neobmedzenej delegácie Kerberos k tomuto servisnému osvedčeniu.

Dôstojná delegácia na určité služby

Nasledujúce nastavenia sú rozhodujúce, ak je určené na použitie S4U alebo KCD. Prvým prípadom zodpovedá výberu dôvery tohto počítača pre delegáciu na špecifikované služby ("TRUST TENTO COMPUTNOSŤOVÉHO POTREBUJÚCE SLUŽBY") A Použite iba Kerberos ("Používajte iba Kerberos"). Na obrazovke 5 je možné vidieť, že s takýmto výberom atribútu UsporAccountCountCounts opäť prijíma Workstation_trust_Account a atribút MSDS-AllownTodeLegto sa automaticky vyplní vybranými službami, ktoré sú povolené delegáciu. Tento atribút nie je vyplnený žiadny iný postup a nie je ovplyvnený. Ako uvádza záznamy niektoré služby v počítači, pre ktoré je povolená delegácia.

Druhá možnosť je menej bezpečná - použite akýkoľvek overovací protokol ("Použite akýkoľvek protokol pre autentifikáciu"), čo umožňuje zmenu protokolu a ďalších možností rozšírenia. Okrem vstupov na atribúte MSDS-AlternatDodeLegateto zmení atribút Nastavenia UsporAccountControl Atribút, ktorý prijíma Trusted_to_authenticate_for_delegation (T2A4D), ako je znázornené na obrazovke 6. Bez vlajky T2A4D, môžete očakávať chybu zmene protokolu. Nepoužíva sa žiadny iný komponent. Všimnite si, že tento jednoduchý spínač je mimoriadne dôležitý, pretože ak nie je vybratý, potom S4U2self, S4U2Proxy a zmena protokolu sa budú správať inak, čo môže spôsobiť problémy pre aplikácie a služby, ktoré čakajú na relevantné typy vstupeniek. Zmena protokolu skončí najmä chybou a lístok nebude vydaný. S4U2Proxy a S4U2self, bude mať žiadnu špeditú vlajku (presmerovanie), čo bude mať za následok chybu: pre S4U2Proxy - v každom prípade a pre S4U2self - v situáciách, keď potrebujete odoslať letenku do inej služby alebo uzla.

"Urob si sám"

Čo sa stane v prípade, že služba služby, ktorú používa aplikácia alebo služba, by mala vykonať akciu, ktorá vyžaduje zmenu protokolu a karta delegácie bude nastavená len na použitie iba Kerberos ("používať iba Kerberos") namiesto použitia Authentication Protocol ("Použite akékoľvek overovanie protokolu")? Pre klienta aplikácie môže mať chyba prístupu odmietnutý formulár ("odmietnutý prístup"), keď sa pokúsite získať prístup k sieťovým prostriedkom, alebo sa môže vyskytnúť chyba bez toho, aby ste upozornili autentifikáciu NTLM, alebo neočakávanú chybu závislú od aplikácie. Neistota prejavu chyby ďalej komplikuje úlohu. Najpravdepodobnejší výsledok však bude prístup odmietnutý ("odmietnutý prístup"). V takejto situácii sa uistite, že sa dozviete dokumentáciu aplikácie alebo služby a zistite, či sa nezmení protokol alebo požiadavky na prijímanie letenky z služby bez TGT nebudú povedané. Problém je v tom, že väčšina kompilátorov dokumentácie skutočne nerozumie význam konfigurácie KCD, a preto poskytnúť nedostatočné vysvetlenie, alebo sú zvyčajne náklady bez nich.

Metóda objasnenia príčin chyby na princípe "DIY" môže byť jednoduchá zbierka údajov o sledovaní siete zo servera dôveryhodného pre delegáciu. Zozbieraný dátový filter podľa Kerberos (Kerberosv5 v Microsoft Network Monitor alebo Kerberos v Wireshark). Žiadosť o letenku na vydanie letenky (TGS_REQ) sa prenáša do distribučného centra Keerberos Distribution Center (KDC) a obsahuje parametre KDC s rozbitou vlajkou delegácie. Ak odmietnete vydať lístok, odozva servera (TGS_REP) bude obsahovať chybu KDC_ERR_BAD_OPTION, ktorá sa dá ľahko všimnúť vo výsledkoch sieťového sledovania.

Viac informácií o práci implementácií spoločnosti Microsoft Kerberos nájdete v online špecifikácii Open Protocols. Rozšírenia protokolu Kerberos (msdn.microsoft.com/en-us/library/cc233855%28V\u003dPROT.13%29.aspx) obsahuje všeobecnú dokumentáciu pre Kerberos a "Kerberos Protocolové rozšírenia: Služba pre používateľa a obmedzenú delegovanie protokolu špecifikácie" ( Msdn.microsoft.com/en-us/library/cc246071%28v\u003dPROT.13%29.aspx) - Dokumentácia o obmedzenej delegácii Kerberos a S4U.

Perfektný svet

Dúfam, že vyššie uvedená analýza nastavení v okne rozhrania Kerberos a ich korešpondencia v reklame vám pomôže lepšie pochopiť ich význam. Ideálny by mohol byť svet, v ktorom by dokumentácia spravovaných služieb obsahovala technickú príručku správne nastavenie Pre autentifikáciu. Ak je však realita ďaleko od ideálu, tieto informácie by mali pomôcť zlepšiť váš nástroj. Pochopenie technického aspektu práce parametrov bude kľúčom k úspechu.



2 odpovede

vyriešené.

Prvá polovica bola môj pretlak. Druhá polovica ... No, nemám žiadne slovo o tom, čo bolo zlé. V skutočnosti to nie je chyba, alebo nekompatibilita, ale niečo je veľmi nepríjemné, prerušované a ťažké pochopiť. Po prvé, zhrnutie a potom vysvetlenie dĺžky pre tých, ktorí sa starajú:

Napriek veta chybových hlásení to nie je problém s koncepčným modelom (CSDL), ale problém porovnávacích stĺpcov, ktoré sa obrátili na prerušenie.

Koncepčný model bol postavený pomocou EDMXWRITER pre DBCONTEXT Syntaktickú analýzu a jeho hlavné časti.

Model sa potom použil na generovanie SQL skriptov na prenos okruhu do novej databázy. Zameriava sa, že databáza je oracle.

Oracle je dieťa a neprijíma dlhé názvy stĺpcov. Tak, generované EDMX a SQL skripty museli byť upravené tak, aby vytvorili a porovnávali časti koncepčného modelu s skrátenými názvami stĺpcov.

Nie je to veľmi veľký problém. Pracuje dobre. Tak kde sa všetko pokazilo?

Oracle nepodporuje "kód" prvý ". A hoci to bolo vykonané manuálne, používanie EDMXwriter je kód kódu v Oracle. Preto, keď bola prvá EDMX schéma demontovaná, biniel na logických porovnaniach. Rozhodnutie bolo dočasne odstrániť booly z mojich modelov C #, pridajte ich do EDMX manuálne a mapovanie web.config Oracle (mapovanie bool na číslo (1.0)).

Všetko znova Groovy. Ale prečo sa naďalej opakuje?

V rôznych časoch počas procesu vývoja určité konce dohody - buď C #, EDMX alebo Oracle Zmeniť. A zakaždým, keď sa zdá, stĺpce boli automaticky preradené, a ja som nevedel. Ak bol model EDMX aktualizovaný z Oracle, porovnateľné ukázali vlastnosti C #, ktoré neboli (krátke názvy stĺpcov). Ak bol model aktualizovaný z code C #, mapovanie nebolo zachránené a snažili sa porovnať dlhé mená stĺpcov, ktoré neboli v Oracle.

Chyba s týmto prístupom (prvý prvý hybridný kód a model) je, ak chcem pokračovať v riadení svojich vlastných modelov a zvládnuť nastavenia potrebné pre malý postoj k dieťaťu, musím byť veľmi opatrný a sledovať funkciu súboru EDMX .

Stránky, aplikácie, hry - informačné zdroje, ktoré spravujú používatelia. Ak chcete rozdeliť povolené a zakázané operácie pre jedného alebo iného používateľa akcie, používajú sa prístupové práva (PD). Rozsah úloh PD formulárov. Napríklad pozrite sa na základné miesto s možnosťou registrácie.

Na tejto stránke "Živé" 3 roly s ich právami a povinnosťami:

1.

V tejto úlohe fungujú všetky anonymné predvolené hodnoty. Ak sa obrátime hostí stránky správnym "Pridávaním komentárov", potom užívateľ, ktorý prišiel na stránku, bude môcť komentovať váš záujem. A ak nie, potom sa chcete vyjadriť k obsahu, ktorý sa budete musieť zaregistrovať.

2.

Minulé autentifikácie a autorizácia anonymné nová úloha. Môžu zvládnuť iba autorizovaní užívatelia osobný účet, Pridajte a upravte osobné údaje, zobrazte informácie o iných znakoch. Neregistrovaní užívatelia nemajú právo na tieto operácie.

3. Administrátor

Táto predvolená úloha poskytuje užívateľovi úplný prístup na stránku. Správca prostriedku pridáva, odstraňuje bloky a dáva alebo odobraje od iných používateľov právo na prístup k jednej alebo inej funkčnosti.

Ako otestovať a čo dávate pozor?

V prvom rade sa pokúsime odstrániť "super-admin", prehrávanie s nastaveniami.

  • Vytvoriť bezpečný charakter

Aby ste sa priblížili k skutočným aktivitám na projekte, je tu dosť ďalších používateľov s podobnými administratívnymi právomocami. A už týmito postavami otestujeme zdroj a zmeníme povolenia pre prístup ostatných používateľov.

  • Skontrolujte niekoľko prehliadačov

Robíme súčasne: v jednom upravovaní PD, v inom skontrolujete používanie práv pre používateľa, čím sa zdieľajú používateľské stretnutia.

  • Prejdeme priamym odkazom

Testovacie blokové obmedzenia, pohybujúce sa na nich Adresa URL. Zobraziť niektoré údaje o zdrojoch by nemali byť nedostupné podľa odkazu pre neoprávnenú stránku hosťov. Ak je prístup obmedzený, potom je všetko v poriadku: namiesto zatvorených informácií sa anonymný dostane varovné hlásenie vo forme špeciálnej stránky, najčastejšie s kódom 403.

  • Testujeme blokovanie subjektov

Pre zdroje, ako sú vstupenky na vstupenky a zájazdy, je dôležité zablokovať položku, keď môže niekoľko používateľov okamžite pristupovať. Existujú dva možnosti blokovania:

+ Optimistický blokovanie Pri ukladaní kontroly databázy pre viac nová verzia Údaje, ktoré zostali iný používateľ. Ak je, potom aktuálny používateľ aktualizuje túto inštanciu účtovnej jednotky.

+ Pesimistické blokovanie Subjekty sa používajú, keď optimisticky vytvára príliš veľa kolízií. V tomto prípade je v súčasnosti používa len jeden užívateľ a zmeny táto možnosť Subjekty.

Možno testovať z jedného počítača v niekoľkých prehliadačoch alebo rôznych účtoch.

  • Používame testovaciu matricu

Zjednodušuje prácu testera, jasne ukazuje povolené a zakázané akcie, a to jednoducho pomáha chýbať nič. Maľujeme v ňom všetky role, užívatelia, variácie obmedzení možností našich postáv.

A tu je najjednoduchší príklad testovacej matice:

Kontrola prístupu je jednou z hlavných kontrol v rámci. Dokonca kontrola lokality miestnej knižnice s tromi rolami čelia skúške ťažkostí. Ale populárne zdroje s desiatkami rolí, tisíce používateľov a milióny povolení vyžadujú celú armádu administrátorov! Je pre nás ťažké predstaviť si rozsah poškodenia, ak testovanie berie diferencovanie. Prilákať kompetentných špecialistov a neumožňujú priestory bezpečné vaše produkty!

Podobné články