在我们的测试环境中有 2 个域。单向信任已设置,然后我们更改为双向信任仍然无法正常工作。
我想在 domainA/userA 上设置委托。在Delegation选项卡中,我选择Trust this user for delegation to specificed services only. 然后在Services to which this account can present delegated credentials我尝试查找 domainB/ssrs(SQL 报告服务的服务帐户),但在 domainB 下找不到任何用户。但是,我可以在 domainB/userB 与 domainB/ssrs 之间设置委托。
我没有委托或kerberos的经验。您能否建议跨域委派是否可行?如果是,我该怎么办?
标准约束委派不能跨域完成。您需要的是基于资源的约束委派。它的要点是,允许谁委托给谁的决定是相反的,因此授予特权的人实际上是被委托给的服务,而不是试图让委托做出决定的服务。
您无法从 UI 执行此操作。它必须通过 PowerShell 完成。
$frontEndService = Get-ADUser -Identity "web01$"
Set-ADUser "backend01$" -PrincipalsAllowedToDelegateToAccount $frontEndService
定期受约束的委派web01$可以决定它可以委派给此事,backend01$并且backend01$在此事上没有发言权。这对于某些环境来说从根本上是奇怪的,因此基于资源的约束委托将其翻转,因此backend01$可以说只web01$允许委托给我。
这样做的副作用是现在您可以跨域边界对等并允许服务委托。