Kerberosチケットはドメイン間の一方向の外部信頼でのみ有効ですか?
別のネットワーク上にある2つのドメイン(ドメインAとドメインB)がある状況です。 BのユーザーがAのIISサーバーにデプロイされたWebアプリにヒットしたときに統合Windows認証(IWA)で認証されるようにする必要があります。現在、IISは401を返します。 BのユーザーがURLにアクセスしようとします。
考えられる解決策:BのユーザーがAに対して認証されるように、AとBの間に信頼を確立します。ただし、Bは高度にセキュリティ保護されており、Aは一方向の発信信頼のみを確立できます(AはBを信頼します)。だからここでの質問は:
BからのユーザーのTGTはAのIISサーバーで有効ですか、それともIISサーバーはActiveDirectoryに到達する必要があります/ Bのドメインコントローラー(おそらく双方向の信頼が必要)?
私が収集するものからIISサーバーはドメインAの一部です。そうであれば、一方向を追加できます A-> B間の信頼 、これによりすべてのグローバル/ドメインBのユニバーサルユーザーをドメインAから信頼され、ドメインBユーザーに(IISサーバー上で)アクセスを許可できます。
sSO/IWAの場合、IISサーバーは イントラネットゾーン の一部と見なされ、Bのホストによって認識されます。これには、同じDNSサフィックスが必要です。同じサブネット上のドメインBのホスト上のドメインA、またはその特定のサイトのイントラネットゾーンへの手動の追加。
この答えをより意味のあるものにし、ADのセキュリティの境界についていくつかの洞察を与えるために、私が明確にする必要があるいくつかのポイント:
- TGTはIISサーバーに送信されず、TGSのみに送信されます。
- PAC検証 を有効にしていない限り、IISサーバーは認証シーケンスの一部としてDCにアクセスすることはありません。
- 信頼は適切なセキュリティ境界ではありません (ネットワークのセグメンテーションやファイアウォールなど、ドメイン間のアクセスを制限する他のメカニズムがあります)
- これは、Kerberosがどのように機能するかについての素晴らしい説明です