Exportar (0) Imprimir
Expandir todo

Cómo: Implementar la delegación Kerberos en Windows 2000

Publicado: 26 de junio de 2006

Consulte la Página de entrada como punto de partida y para obtener una descripción completa del documento Crear aplicaciones ASP.NET seguras.

Resumen:La delegación Kerberos le permite pasar una identidad autenticada a través de varios niveles físicos de una aplicación para admitir autenticación y autorización en los niveles inferiores. En este artículo se muestran los pasos de configuración necesarios para su funcionamiento.

De forma predeterminada, el sistema operativo Microsoft® Windows® 2000 utiliza el protocolo Kerberos para la autenticación. En este artículo se describe cómo configurar la delegación Kerberos, una característica eficaz que permite a un servidor que suplanta a un cliente tener acceso a los recursos remotos en nombre del cliente.

Importante: la delegación es una característica muy eficaz y no tiene restricciones en Windows 2000. Debe utilizarse con precaución. El acceso a los equipos configurados para admitir la delegación debe estar controlado para impedir el uso indebido de esta característica.
En Windows Server 2003 se admitirá una característica de delegación restringida.

Cuando un servidor suplanta a un cliente, la autenticación Kerberos genera un testigo de delegación (que se puede utilizar para responder a los desafíos de autenticación de red de equipos remotos) si se cumplen las condiciones siguientes:

  • La cuenta de cliente que se suplanta no está marcada como importante y no se puede delegar en el servicio de directorio Microsoft Active Directory®.

  • La cuenta de proceso del servidor (la cuenta de usuario con la que se ejecuta el proceso del servidor o la cuenta de equipo si el proceso se ejecuta con la cuenta SISTEMA local) tiene la marca de confianza para la delegación en Active Directory.

Notas: Para que la delegación Kerberos se realice correctamente, todos los equipos (clientes y servidores) deben formar parte de un único bosque de Active Directory.
Si lleva a cabo una suplantación dentro de componentes revisados y desea pasar el contexto de llamadores a través de una aplicación de Servicios Empresariales, el servidor de aplicaciones en el que se alojan los Servicios Empresariales debe tener instalado Hotfix Rollup 18.1 o posterior.
Para obtener más información, consulte INFO: Availability of Windows 2000 Post-Service Pack 2 COM+ Hotfix Rollup Package 18.1 (en inglés).

Requisitos: A continuación se describen las recomendaciones de hardware, software, infraestructura de red, conocimientos y Service Pack que se necesitan: Windows 2000 Server con Active Directory.

En esta página

Confirmar que la cuenta de cliente está configurada para la delegación Confirmar que la cuenta de cliente está configurada para la delegación
Confirmar que se confía en la cuenta de proceso del servidor para la delegación Confirmar que se confía en la cuenta de proceso del servidor para la delegación
Referencias Referencias

Confirmar que la cuenta de cliente está configurada para la delegación

En este procedimiento se asegura que la cuenta de cliente admite la delegación.

Para confirmar que la cuenta de cliente está configurada para la delegación

  1. Inicie sesión en el controlador de dominio con una cuenta de administrador.

  2. En la barra de tareas, haga clic en el botón Inicio, elija Programas, Herramientas administrativas y, después, haga clic en Usuarios y equipos de Active Directory.

  3. Debajo del dominio, haga clic en la carpeta Usuarios.

  4. Haga clic con el botón secundario del mouse (ratón) en la cuenta de usuario que se va a delegar y, a continuación, haga clic en Propiedades.

  5. Haga clic en la ficha Cuenta.

  6. En la lista Opciones de cuenta, asegúrese de que la opción La cuenta es importante y no se puede delegar no está seleccionada.

  7. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.

Confirmar que se confía en la cuenta de proceso del servidor para la delegación

En este procedimiento se asegura que la cuenta utilizada para ejecutar el proceso del servidor (el proceso que lleva a cabo la suplantación) tiene permiso para delegar cuentas de cliente. Debe configurar la cuenta de usuario con la que se ejecuta el proceso de servidor o, si el proceso se ejecuta con la cuenta SISTEMA local, debe configurar la cuenta de equipo. Lleve a cabo el procedimiento apropiado de los que se indican a continuación en función de si el proceso del servidor se ejecuta con una cuenta de Windows o una cuenta SISTEMA local.

Para confirmar que se confía en la cuenta de proceso del servidor para la delegación si el proceso del servidor se ejecuta con una cuenta de usuario de Windows

  1. En la carpeta Usuarios de Usuarios y equipos de Active Directory, haga clic con el botón secundario en la cuenta de usuario que se utiliza para ejecutar el proceso del servidor que suplantará al cliente y, después, haga clic en Propiedades.

  2. Haga clic en la ficha Cuenta.

  3. En la lista Opciones de cuenta, haga clic en Se confía en la cuenta para su delegación.

Para confirmar que se confía en la cuenta de proceso del servidor para la delegación si el proceso del servidor se ejecuta con la cuenta SISTEMA local

  1. En Usuarios y equipos de Active Directory, haga clic con el botón secundario en la carpeta Equipos y, a continuación, haga clic en Propiedades.

  2. Haga clic con el botón secundario en el servidor (donde se ejecutará el proceso que suplanta al cliente) y, a continuación, haga clic en Propiedades.

  3. En la página General, haga clic en Confiar en el equipo para la delegación.

Referencias

Para obtener una lista de los archivos a los que afecta la versión 18.1 del paquete de revisiones COM+ posterior al Service Pack 2 (SP2) de Windows 2000, consulte el artículo Q313582, "INFO: Availability of Windows 2000 Post-Service Pack 2 COM+ Hotfix Rollup Package 18.1" (en inglés) en Microsoft Knowledge Base.

Para ver cómo configurar una situación completa de delegación que incluye ASP.NET, la aplicación de Servicios Empresariales y SQL Server, consulte "Transmitir el llamador original a la base de datos" en el capítulo 5, "Seguridad de intranet".

Mostrar:
© 2015 Microsoft