Windows 2000 Server 上的 Kerberos 委托是未约束的。Active Directory 中配置了委托的服务器可在使用模拟的用户安全上下文的同时访问任何网络资源或网络上的任何计算机。这会带来潜在的安全威胁,尤其是 Web 服务器遭受恶意用户攻击时。
为了解决该安全问题,Windows Server 2003 引入了约束的委托。这使管理员能够在使用模拟的用户安全上下文时准确 指定另一个服务器或域帐户可以访问的服务。
配置委托
要使用 Kerberos 委托,需要适当的 Active Directory 配置。
要授予 Web 服务器委托客户端凭据的权限,请按以下方式配置 Active Directory:
如果在 NetworkService 帐户下运行应用程序,Web 服务器计算机帐户必须在 Active Directory 中标记为受信任委托。
如果在自定义域帐户下运行应用程序,该用户帐户必须在 Active Directory 中标记为受信任委托。
如果应用程序模拟一个用户帐户,请确保应用程序模拟的用户帐户在 Active Directory 中未标记为"敏感帐户,不能被委托"。
有关协议转换和约束委托的详细信息,请参阅 How To: Use Protocol Transition and Constrained Delegation in ASP.NET 2.0。
您可能感兴趣的文章: