AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Kerberos 约束委托

Kerberos 约束委托是 Windows Server 中的一项功能。此功能使得服务管理员可以限制应用程序能够代表用户执行操作的范围,从而指定和实施应用程序信任边界。这在您需要配置哪些前端服务账户可以委托给其后端服务时非常有用。Kerberos 约束委托还可以防止 gMSA 代表您的 Active Directory 用户连接到所有服务,避免恶意开发人员可能的滥用。

例如,假设用户 jsmith 登录到 HR 应用程序。您希望 SQL Server 应用 jsmith 的数据库权限。但是,默认情况下 SQL Server 使用应用 hr-app-service 权限的服务账户凭证打开数据库连接,而不是 jsmith 配置的权限。您必须使 HR 薪资应用程序能够使用 jsmith 的凭证访问 SQL Server 数据库。要做到这一点,您需要为 的 目录中的 hr-app-service 服务账户启用 Kerberos 约束委托。当 jsmith 登录时,Active Directory 提供 Kerberos 票证,当 jsmith 尝试访问网络上的其他服务时,Windows 自动使用该票证。Kerberos 委托使得 hr-app-service 账户在访问数据库时可以重用 jsmith Kerberos 票证,从而在打开数据库连接时将特定权限应用到 jsmith。

要授予权限,允许 AWS Managed Microsoft AD 中的用户配置 Kerberos 约束委托,您必须将其账户添加为 AWS Kerberos 委托管理员安全组的成员。默认情况下,管理员账户是该组的成员。有关 Kerberos 约束委托中的更多信息,请参阅 Microsoft TechNet 网站上的 Kerberos 约束委托概览