Детальное описание протокола проверки подлинности Kerberos, включая ограниченное делегирование Kerberos, приведено в статье «How the Kerberos Version 5 Authentication Protocol Works» (Принципы работы протокола проверки подлинности Kerberos версии 5) на веб-узле Microsoft TechNet. В данном разделе приведены общие сведения о протоколе проверки подлинности Kerberos, имеющие отношение к ограниченному делегированию Kerberos в том виде, в каком он используется в Forefront TMG.

Протокол проверки подлинности Kerberos используется для подтверждения подлинности пользователей, пытающихся получить доступ к ресурсам сети. При проверке подлинности по протоколу Kerberos используются билеты, которые зашифровываются и расшифровываются с помощью секретных ключей и не содержат паролей пользователей. Запрос и доставка билетов производится с помощью сообщений протокола Kerberos. Используется два типа билетов: билеты предоставления билета (TGT) и билеты службы.

Клиент Kerberos (пользователь или служба) направляет запрос на получение билета в центр распространения ключей (KDC - Key Distribution Center), расположенный в домене. Запросы на получение билетов предоставления билета направляются в службу проверки подлинности KDC, а запросы на билеты службы - в службу предоставления билетов KDC. Если подлинность учетных данных клиента, направившего запрос в службу проверки подлинности, была подтверждена, KDC возвращает клиенту билет предоставления билета. Билет предоставления билета - это особый билет службы для службы проверки подлинности, который позволяет ей передавать учетные данные клиента в службу предоставления билетов в запросах на получение билетов службы для определенной службы на определенном компьютере. Билет предоставления билета выдается определенному клиенту и может повторно использоваться клиентом в запросах на получение дополнительных билетов службы для той же службы. Для получения билетов службы, предназначенных для другой службы, клиент должен предварительно получить в службе проверки подлинности новый билет предоставления билета. Каждый билет службы, выдаваемый службой предоставления билетов, предназначен для определенной службы на определенном компьютере.

Протокол Kerberos поддерживает механизм, известный как делегирование проверки подлинности. При использовании этого механизма клиент (запрашивающая служба) делегирует проверку подлинности другой службе. Для этого клиент сообщает в KDC, что эта служба авторизована от лица определенного участника безопасности Kerberos, например пользователя с учетной записью службы каталогов Active Directory. После этого вторая служба получает возможность делегировать проверку подлинности третьей службе.

Для этого используется прокси-билет предоставления билета или перенаправляемый билет предоставления билета. При использовании прокси-билета предоставления билета запрашивающая служба получает билет предоставления билета для третьей службы в контексте безопасности определенного пользователя и далее передает этот билет второй службе, которая использует его для запроса билетов службы. В этом случае запрашивающая служба должна знать имя третьей службы. При использовании перенаправляемого билета предоставления билета запрашивающая служба получает билет предоставления билета, помеченный как перенаправляемый, для другой службы в контексте безопасности определенного пользователя. Вторая служба может по необходимости использовать этот билет для запроса билетов на другие службы.

Для ограниченного делегирования могут использоваться только перенаправляемые билеты предоставления билетов. Билет предоставления билета может быть помечен как перенаправляемый, только если для учетной записи, под которой выполняется запрашиваемая служба, в Active Directory установлен контрольный флаг ADS_UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION. Для Forefront TMG это учетная запись компьютера Forefront TMG в Active Directory. Данный флаг устанавливается автоматически при настройке учетной записи в качестве доверенной для ограниченного делегирования Kerberos в Active Directory.

Ограниченное делегирование Kerberos - это функция, которая была введена в ОС Microsoft Windows Server 2003 и поддерживается двумя расширениями, включенными в реализацию протокола проверки подлинности Kerberos версии 5 в Windows Server 2008.

• Смена протокола. Расширение смены протокола позволяет службе, использующей Kerberos, получать для себя билет службы Kerberos от лица участника безопасности Kerberos (пользователя или компьютера). При этом участнику безопасности не требуется проходить предварительную проверку подлинности в KDC. Вместо этого пользователь, посылающий службе запрос вместе с учетными данными, которые не применимы для проверки подлинности Kerberos, например SSL-сертификат клиента, может пройти проверку подлинности с использованием любого подходящего метода проверки подлинности Windows. По прохождении проверки Windows создает маркер пользователя. Затем, если служба имеет достаточные права на олицетворение в Windows, она использует этот маркер для олицетворения пользователя и запроса на получение билета службы Kerberos для другой службы. Предоставленный билет службы сопоставляется с маркером пользователя. Служба может использовать билет службы, полученный посредством смены протокола, для получения билетов службы для других служб и делегирования учетных данных. Для этого необходимо, чтобы учетная запись, под которой запущена служба, была правильно настроена на использование расширения ограниченного делегирования Kerberos.
  
  
• Ограниченное делегирование. Расширение ограниченного делегирования позволяет службе получать билеты службы (от лица делегируемого пользователя) для ограниченного набора других служб, запущенных на определенных серверах сети, после того как ей будет предоставлен билет службы. Это может быть билет службы, полученный с помощью смены протокола.
  
  

Ограниченное делегирование предоставляет администраторам домена способ ограничения набора сетевых ресурсов, к которым может получать доступ служба, доверенная для делегирования. Для этого необходимо настроить учетную запись, под которой выполняется служба, как доверенную для делегирования определенному экземпляру службы, запущенному на определенном компьютере, либо набору экземпляров служб, запущенных на определенных компьютерах.

Каждый экземпляр службы определяется уникальным идентификатором, называемым имя службы-участника. Синтаксис имени службы-участника следующий: класс_службы/имя_узла:порт:

• Класс службы представляет собой набор символов, определяющий службу. В ОС Windows существуют предопределенные классы для многих служб, однако классы служб также могут определяться пользователем. Например, службы IIS соответствуют классу служб Windows http.
  
  
• Имя узла - это имя компьютера, на котором запущен экземпляр службы. Это может быть полное доменное имя или имя NetBIOS, но не IP-адрес. Имя узла является необязательным, но должно включаться в имена участников-служб, используемые Forefront TMG.
  
  
• Номер порта является необязательным. Он используется для различения нескольких экземпляров одной службы, запущенных на одном узле. Он может опускаться, если служба использует порт по умолчанию для служб данного класса.
  
  

Каждый экземпляр службы, использующей проверку подлинности Kerberos, должен иметь имя участника-службы, чтобы клиенты могли опознавать экземпляр службы в сети. Имя участника-службы регистрируется с помощью атрибута Имя участника-службы учетной записи Windows, под которой запущен данный экземпляр службы. Таким образом, имя участника-службы связано с учетной записью, под которой выполняется данный экземпляр службы. Если службе необходимо пройти проверку подлинности в другой службе на определенном компьютере, она использует имя службы-участника для отличения ее от других служб, запущенных на этом компьютере.

При регистрации имени службы-участника в Active Directory это имя сопоставляется с учетной записью Windows, под которой выполняется соответствующая служба. Экземпляры службы могут автоматически регистрировать свои имена службы-участника при запуске. Регистрация имен служб-участников может также производиться администраторами вручную с помощью средства Setspn.exe для Windows Server 2003. Оно также позволяет просматривать, изменять и удалять имена служб-участников, зарегистрированных в учетной записи Windows. Средство Setspn.exe особенно полезно для проверки того, что определенное имя службы-участника зарегистрировано в определенной учетной записи Active Directory. Дополнительные сведения о получении и установке средства Setspn.exe см. в статье базы знаний Майкрософт: 892777«Windows Server 2003 Service Pack 1 Support Tools» (Средства поддержки Windows Server 2003 с пакетом обновления 1).

В целях реализации ограниченного делегирования Active Directory поддерживает список имен служб-участников, включающий экземпляры служб, к которым разрешено делегирование со стороны службы, запущенной под определенной учетной записью, т.е. разрешено получение билетов службы для ограниченного делегирования. Список имен служб-участников хранится в новом атрибуте ms-DS-Allowed-to-Delegate-to компьютера и учетных записей пользователей на компьютерах под управлением Windows Server 2008. Когда KDC в Windows Server 2008 обрабатывает запрос на получение билета службы с помощью расширения ограниченного делегирования, KDC проверяет, включено ли имя целевой службы-участника в список имен, хранящийся в атрибуте ms-DS-Allowed-to-Delegate-to.

Компьютеры под управлением Windows Server 2008 поддерживают два режима делегирования: неограниченное делегирование Kerberos и ограниченное делегирование Kerberos. Неограниченное делегирование Kerberos поддерживается в том случае, если пользователь предоставляет учетные данные для получения билета предоставления билета, который может быть передан любой службе, доверенной для делегирования. Схема работы этого режима соответствует реализации протокола Kerberos в Microsoft Windows 2000 Server. Ограниченное делегирование может использоваться службой в том случае, если служба может получить для себя билет службы Kerberos от лица пользователя, контекст безопасности которого подлежит делегированию. При использовании ограниченного делегирования Kerberos не имеет значения, получил ли пользователь билет службы напрямую путем прохождения проверки подлинности по протоколу Kerberos, или же билет был получен службой от лица пользователя посредством расширения смены протокола.

Чтобы служба могла использовать смену протокола совместно с ограниченным делегированием Kerberos и получить билет службы Kerberos для определенной службы от лица пользователя, прошедшего проверку подлинности при помощи метода, отличного от Kerberos, учетная запись, под которой запущена служба, должна быть настроена в Active Directory на разрешение ограниченного делегирования Kerberos для любого протокола проверки подлинности. Кроме того, олицетворяемая учетная запись пользователя не должна быть помечена как уязвимая и запрещенная к делегированию.

При использовании других типов делегирования Forefront TMG может делегировать учетные данные, только если получение учетных данных клиента происходит с помощью обычной проверки подлинности или проверки подлинности на основе HTTP-форм. Учетные данные, предоставляемые с сертификатом SSL, не могут быть делегированы. Благодаря ограниченному делегированию Kerberos Forefront TMG может делегировать учетные данные клиента, предоставляемые для проверки подлинности следующих типов.

• Обычная проверка подлинности
  
  
• Проверка подлинности Digest
  
  
• Встроенная проверка подлинности
  
  
• Проверка подлинности по SSL-сертификатам клиента
  
  
• Проверка подлинности на основе форм с именем и паролем пользователя
  
  
• Проверка подлинности на основе форм с секретным кодом пользователя
  
  

После установления подлинности пользователя, направившего веб-запрос с использованием протокола проверки подлинности, отличного от Kerberos, Forefront TMG может использовать смену протокола для переключения на протокол Kerberos и прохождения проверки подлинности от лица пользователя. Далее билет службы Kerberos отсылается вместо учетных данных пользователя на веб-сервер, поддерживающий использование Kerberos. Данная схема реализована в несколько этапов.

1. На первом этапе пользователь, посылающий веб-запрос, проходит проверку подлинности на сервере Forefront TMG по протоколу, отличному от Kerberos, с использованием метода проверки (Active Directory).
   
   
2. На втором этапе, после установления подлинности пользователя, для него создается маркер пользователя Windows. Так как при проверке подлинности пользователя протокол Kerberos не применялся, маркер пользователя не связан с билетом службы Kerberos. И наоборот, если пользователь проходит проверку подлинности по протоколу Kerberos, маркер пользователя косвенно связывается с билетом службы Kerberos.
   
   
3. На этапе 3 Forefront TMG использует маркер пользователя для олицетворения пользователя и запроса билета службы Kerberos для определенной службы на опубликованном веб-сервере от лица пользователя.
   
   
4. На четвертом этапе ОС Windows Server 2008 на сервере Forefront TMG обнаруживает отсутствие билета службы Kerberos в маркере пользователя и автоматически инициирует обмен протокола путем запроса билета службы на Forefront TMG для олицетворенного пользователя.
   
   
5. На пятом этапе билет службы, выданный посредством смены протокола, сопоставляется с маркером пользователя и используется Forefront TMG для запроса билета службы для опубликованной службы. При правильной настройке ограниченного делегирования Kerberos опубликованных веб-серверов принимает билет службы Kerberos вместо имени и пароля, и пользователь проходит проверку подлинности.
   
   

Билет службы Kerberos на опубликованную службу может использоваться веб-сервером для получения дополнительных билетов на другие службы от имени того же пользователя. Например, если внешний сервер Exchange, опубликованный с помощью Forefront TMG, настроен в Active Directory как доверенный для делегирования внутреннему серверу Exchange, допускающему проверку подлинности Kerberos, внешний сервер может получить билеты службы для внешнего сервера от имени пользователей, прошедших проверку подлинности на сервере Forefront TMG.

Дополнительные технические сведения

Для использования ограниченного делегирования Kerberos в целях проверки подлинности пользователей на веб-сервере, опубликованном с помощью Forefront TMG, должны быть выполнены следующие условия.

• Сервер Forefront TMG, опубликованный веб-сервер или участник опубликованной фермы серверов, контроллер домена, выдающий билеты службы Kerberos, а также все остальные компьютеры, например внутренние серверы, которым передаются билеты службы Kerberos, должны являться членами одного домена Active Directory. Forefront TMG не поддерживает междоменное доверие или доверие между лесами, что делает невозможным включение дополнительных доменов Active Directory при использовании ограниченного делегирования Kerberos.
  
  
• Домен должен быть настроен на режим работы Windows Server 2003 или Windows Server 2008.
  
  

  Примечание.
  По умолчанию домен Windows Server 2003 настроен на режим работы Windows 2000.

• Пользователь, направляющий запрос, должен иметь учетную запись пользователя Active Directory в этом домене или ином домене в пределах локального леса. Рассмотрение возможности включения пользователей, относящихся к другим лесам, выходит за рамки данного документа.
  
  
• Имя участника-службы для целевой службы на веб-сервере должно быть зарегистрировано под учетной записью Windows, от имени которой эта служба запущена. Регистрация имени участника службы может выполняться автоматически самой службой либо вручную администратором с помощью средства Setspn.exe для Windows Server 2003.
  
  
• Учетная запись компьютера Forefront TMG должна быть настроена в Active Directory в качестве доверенной для ограниченного делегирования Kerberos и ограничена именем участника-службы, определяющим целевую службу на опубликованном веб-сервере. Для этого в свойствах учетной записи компьютера в оснастке «Active Directory - пользователи и компьютеры» необходимо выбрать параметр «Этот компьютер доверенный для делегирования указанных служб» и определить целевую службу на опубликованном веб-сервере в качестве службы, которой данная учетная запись может предоставлять делегированные учетные данные.
  
  

  Примечание.

  Если безопасность сервера Forefront TMG оказывается нарушенной при включении ограниченного делегирования Kerberos, злоумышленник может олицетворить любого пользователя домена и запросить билеты службы для любой службы, указанной в Active Directory как служба, которой могут быть предоставлены делегированные учетные данные. Поэтому имена участников-служб следует определять только для серверов, опубликованных с помощью Forefront TMG.

• Для включения обмена протокола учетная запись компьютера Forefront TMG также должна быть настроена в Active Directory на разрешение ограниченного делегирования Kerberos для любого протокола проверки подлинности. Для этого в свойствах учетной записи компьютера в оснастке «Active Directory - пользователи и компьютеры» необходимо выбрать параметр «Использовать любой протокол проверки подлинности».
  
  
• На веб-сервере должна быть настроена поддержка встроенной проверки подлинности, включающей проверку подлинности Kerberos, для виртуального каталога, к которому посылаются запросы.
  
  
• Необходимо создать веб-прослушиватель, использующий метод проверки подлинности пользователей с использованием метода проверки Windows (Active Directory), и правило веб-публикации, настроенное на использование ограниченного делегирования Kerberos для делегирования проверки подлинности опубликованному серверу.
  
  
• Проверка подлинности с использованием SSL-сертификатов клиента требует развертывания инфраструктуры открытого ключа (PKI) для выдачи сертификатов клиента и сопоставления их с учетными записями пользователей в Active Directory, установки корневого сертификата центра сертификации, выдающего SSL-сертификаты клиента на сервере Forefront TMG, и установки SSL-сертификата клиента с именем, по которому пользователи получают доступ к опубликованному веб-узлу на сервере Forefront TMG. Дополнительные сведения о развертывании сертификатов см. в статье «Outlook Web Access Server Publishing in ISA Server 2004: Client Certificates and Forms-based Authentication» (Публикация сервера веб-клиента Outlook в ISA Server 2004: сертификаты клиента и проверка подлинности на основе форм) на веб-узле Microsoft TechNet.
  
  

В Forefront TMG имя участника-службы используется для запроса билета службы Kerberos, если для правила веб-публикации настроено использование ограниченного делегирования Kerberos. По умолчанию в поле «Управление Forefront TMG» на вкладке «Делегирование проверки подлинности» окна свойств правила публикации в сети для отдельного веб-сервера указано имя службы-участника «http/имя_внутреннего_узла», а для фермы серверов указано имя службы-участника «http/*». Это имя службы-участника должно соответствовать имени, указанному на вкладке «Делегирование» в свойствах учетной записи компьютера Forefront TMG в оснастке «Active Directory - пользователи и компьютеры».

В Microsoft Exchange Server 2003 службы IIS используют учетную запись «Сетевая служба». Для опубликованных серверов Exchange Forefront TMG использует имя участника-службы, состоящее из класса службы http и внутреннего имени узла для отдельного сервера Exchange или подстановочного символа (*) для фермы серверов Exchange.

SharePoint Portal Server 2003 по умолчанию отключает протокол Kerberos, поэтому при публикации SharePoint использование ограниченного делегирования Kerberos и NTLM/Kerberos (Negotiate) невозможно. Чтобы включить протокол Kerberos, следуйте инструкциям в следующей статье базы знаний Майкрософт: 832769, «How to configure a Windows SharePoint Services virtual server to use Kerberos authentication and how to switch from Kerberos authentication back to NTLM authentication» (как настроить виртуальный сервер Windows SharePoint Services на использование проверки подлинности Kerberos и как переключить проверку подлинности Kerberos обратно на NTLM).