Kerberos, 위임 및 SPN에 대한 혼동

Question

Kerberos 위임을 수행하는 개념 증명 (proof-of-concept) 응용 프로그램을 작성하려고합니다. 모든 코드를 작성했는데 제대로 작동하고있는 것으로 보입니다. 그러나 결과 보안 컨텍스트에 ISC_REQ_DELEGATE 플래그가 설정되어 있지 않습니다.

그래서 끝점 (클라이언트 또는 서버) 중 하나가 위임 할 수 없다고 생각합니다. 그러나 SPN에 대해 인증하지 않습니다. 다른 도메인 사용자에 대한 도메인 사용자 한 명. InitializeSecurityContext()의 SPN에 "someuser@mydomain.lan"(서버 응용 프로그램이 실행되고있는 사용자 계정)이 전달됩니다. 이해하는 바와 같이 도메인 사용자는 기본적으로 위임을 사용하도록 설정했습니다. 어쨌든 관리자에게 확인하도록 요청했으며 "계정은 민감하므로 위임 할 수 없음"확인란이 선택 해제되었습니다.

내 서버가 네트워크 서비스로 실행 중이고 SPN을 사용하여 연결 한 경우 AD의 컴퓨터 계정에 "위임 할 컴퓨터 신뢰"확인란이 선택되어 있어야합니다. 기본값),하지만 ... 이것은 사실이 아닙니다. 맞습니까? 아니면 그렇지?

또한 컴퓨터 계정의 확인란을 설정하면 변경이 즉시 수행됩니까? 아니면 서버 PC를 재부팅해야합니까, 아니면 잠시 기다려야합니까?

Answer 1

this에 따르면 제한된 위임을 사용하는 경우 ISC_REQ_DELEGATE는 무시됩니다. 제한된 위임이 발생하면 계정에서 Active Directory에서 위임 할 수있는 서비스 (AD 스냅인의 사용자 또는 컴퓨터에 대한 위임 탭)를 명시 적으로 명시해야합니다.

UPNs와 SPN을 사용하는 규칙에 대해 잘 모르겠습니다. Kerberos event logging을 켜고 이벤트 로그를 살펴 보셨습니까? 메시지는 종종 암호화되어 있지만 일반적으로 해독 할 수 있습니다.

네트워크 서비스 시나리오에 대한 설명이 정확합니다. 위임에 대한 신뢰는 기본적으로 해제되어 있지만 NETWORK SERVICE에서 SPN을 자체 등록 할 수있는 권한이있을 수 있습니다 (그룹 정책에 따라 결정될 수 있습니다).

상자에 체크 표시를하면 변경 작업이 즉시 수행되지만 도메인의 모든 도메인 컨트롤러 (일반적으로 단일 DC로 테스트 도메인에서 테스트)를 통과해야 할 수 있습니다. 따라서 서비스 응용 프로그램을 다시 시작하면됩니다. 재부팅 할 필요가 없습니다.

커브 티켓은 클라이언트 컴퓨터에 있습니다. 이것들은 만료 시간을 가지며 klist 나 kerbtray를 사용하여 수동으로 플러시 할 수 있습니다.