Configurar a delegação restrita Kerberos (KCD) no Microsoft Entra Domain Services

À medida que você executa aplicativos, pode haver a necessidade de esses aplicativos acessarem recursos no contexto de um usuário diferente. O AD DS (Active Directory Domain Services) dá suporte a um mecanismo chamado delegação Kerberos que permite esse caso de uso. A delegação restrita do Kerberos (KCD) baseia-se nesse mecanismo para definir recursos específicos que podem ser acessados no contexto do usuário.

Os domínios gerenciados do Microsoft Entra Domain Services são protegidos com mais rigor do que os ambientes tradicionais do AD DS local, portanto, use um KCD baseado em recursos mais seguro.

Este artigo mostra como configurar a delegação Kerberos restrita baseada em recursos em um domínio gerenciado dos Serviços de Domínio.

Pré-requisitos

Para concluir este artigo, você precisa dos seguintes recursos:

• Uma assinatura ativa do Azure.
  • Se você não tiver uma assinatura do Azure, crie uma conta.
• Um tenant do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Se necessário, crie um tenant do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Um domínio gerenciado do Microsoft Entra Domain Services habilitado e configurado em seu locatário do Microsoft Entra.
  • Se necessário, crie e configure um domínio gerenciado do Microsoft Entra Domain Services.
• Uma VM de gerenciamento do Windows Server que está ingressada no domínio gerenciado dos Serviços de Domínio do Active Directory.
  • Se necessário, conclua o tutorial para criar uma VM do Windows Server e ingressá-la em um domínio gerenciado e instale as ferramentas de gerenciamento do AD DS.
• Uma conta de usuário que é membro do grupo administradores do Microsoft Entra DC em seu tenant do Microsoft Entra.

Visão geral sobre a delegação restrita do Kerberos

A delegação kerberos permite que uma conta represente outra conta para acessar recursos. Por exemplo, um aplicativo web que acessa um componente de back-end pode se passar por outra conta de usuário quando faz a conexão com o back-end. A delegação Kerberos não é segura, pois não limita quais recursos a conta de representação pode acessar.

KCD (delegação restrita do Kerberos) restringe os serviços ou recursos que um servidor ou aplicativo especificado pode conectar ao se passar por outra identidade. O KCD tradicional requer privilégios de administrador de domínio para configurar uma conta de domínio para um serviço e restringe a execução da conta em um único domínio.

O KCD tradicional também tem alguns problemas. Por exemplo, em sistemas operacionais anteriores, o administrador de serviços não tinha uma maneira útil de saber quais serviços front-end delegavam aos serviços de recursos que possuíam. Qualquer serviço front-end que pudesse delegar a um serviço de recurso era um possível ponto de ataque. Se um servidor que hospedou um serviço front-end configurado para delegar aos serviços de recursos tiver sido comprometido, os serviços de recursos também poderão ser comprometidos.

Em um domínio gerenciado, você não tem privilégios de administrador de domínio. Como resultado, o KCD baseado em conta tradicional não pode ser configurado em um domínio gerenciado. Em vez disso, o KCD baseado em recursos pode ser usado, o que também é mais seguro.

KCD baseado em recursos

O Windows Server 2012 e posterior oferece aos administradores de serviço a capacidade de configurar a delegação restrita para seu serviço. Esse modelo é conhecido como KCD baseado em recurso. Com essa abordagem, o administrador de serviços de back-end pode permitir ou negar que serviços front-end específicos usem KCD.

O KCD baseado em recurso é configurado usando o PowerShell. Você usa os cmdlets Set-ADComputer ou Set-ADUser , dependendo se a conta de representação é uma conta de computador ou uma conta de usuário/conta de serviço.

Configurar o KCD com base em recursos para uma conta de computador

Nesse cenário, vamos supor que você tenha um aplicativo Web executado no computador chamado contoso-webapp.aaddscontoso.com.

O aplicativo Web precisa acessar uma API Web que é executada no computador chamado contoso-api.aaddscontoso.com no contexto de usuários de domínio.

Conclua as seguintes etapas para configurar este cenário:

1. Crie uma OU personalizada. Você pode delegar permissões para gerenciar essa UO personalizada aos usuários dentro do domínio gerenciado.

2. Ingresse no domínio as máquinas virtuais, tanto a que executa o aplicativo Web quanto a que executa a API Web, no domínio gerenciado. Crie essas contas de computador na OU personalizada da etapa anterior.

   Observação

   As contas de computador para o aplicativo Web e a API Web devem estar em uma UO personalizada em que você tenha permissões para configurar o KCD baseado em recursos. Você não pode configurar o KCD baseado em recurso para uma conta de computador no container interno do Microsoft Entra DC Computers.

3. Por fim, configure o KCD baseado em recurso usando o cmdlet Set-ADComputer PowerShell.

   Na sua VM de gerenciamento unida ao domínio e conectada como uma conta de usuário que é membro do grupo administradores do Microsoft Entra DC, execute os cmdlets a seguir. Forneça seus próprios nomes de computador conforme necessário:

   $ImpersonatingAccount = Get-ADComputer -Identity contoso-webapp.aaddscontoso.com
   Set-ADComputer contoso-api.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Configurar o KCD baseado em recurso para uma conta de usuário

Nesse cenário, vamos supor que você tenha um aplicativo Web executado como uma conta de serviço chamada appsvc. O aplicativo Web precisa acessar uma API Web que é executada como uma conta de serviço chamada back-endsvc no contexto de usuários de domínio. Conclua as seguintes etapas para configurar este cenário:

1. Crie uma UO personalizada. Você pode delegar permissões para gerenciar essa UO personalizada aos usuários dentro do domínio gerenciado.

2. Ingresse no domínio das máquinas virtuais que executam a API/recurso web de back-end para o domínio gerenciado. Crie sua conta de computador na UO personalizada.

3. Crie a conta de serviço (por exemplo, appsvc) usada para executar o aplicativo web na UO customizada.

   Observação

   Novamente, a conta de computador da VM da API Web e a conta de serviço do aplicativo Web devem estar em uma UO personalizada em que você tenha permissões para configurar o KCD baseado em recursos. Você não pode configurar o KCD baseado em recursos para contas nos contêineres internos de Computadores do Microsoft Entra DC ou Usuários do Microsoft Entra DC. Isso também significa que você não pode usar contas de usuário sincronizadas com a ID do Microsoft Entra para configurar o KCD baseado em recursos. Você deve criar e usar contas de serviço criadas especificamente nos Serviços de Domínio.

4. Por fim, configure o KCD baseado em recursos usando o cmdlet Set-ADUser PowerShell.

   Na sua VM de gerenciamento unida ao domínio e conectada como uma conta de usuário que é membro do grupo administradores do Microsoft Entra DC, execute os cmdlets a seguir. Forneça seus próprios nomes de serviço conforme necessário:

   $ImpersonatingAccount = Get-ADUser -Identity appsvc
   Set-ADUser backendsvc -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
   

Próximas etapas

Para saber mais sobre como a delegação funciona nos Serviços de Domínio do Active Directory, consulte Visão Geral da Delegação Restrita Kerberos.