56.2. 在身份管理中基于资源的受限委托


基于资源的受限委托(RBCD)与常规受限委托在多个方面有所不同:

  • 粒度:在 RBCD 中,委托在资源级别上指定。
  • 访问授权责任:在 RBCD 中,访问是由服务所有者,而不是 Kerberos 管理员控制的。

在常规受限委托中,用户到代理的服务(S4U2proxy)扩展代表用户获取其他服务的服务票据。第二个服务通常是在用户的授权上下文下,代表第一个服务执行任务的代理。使用受限委托删除了用户委托其完整的票据授予票据 (TGT)的需要。

身份管理(IdM)通常使用 Kerberos S4U2proxy 功能来允许 Web 服务器框架代表用户获取 LDAP 服务票据。

当 IdM 与活动目录(AD)集成时,IdM 框架也使用受限委托来代表用户对各种服务(包括 IdM 和活动目录端的 SMB 和 DCE RPC 端点)进行操作。

当 IdM 域中的应用程序需要代表用户对不同服务进行操作时,需要委托权限。在常规受限委托中,这需要域管理员明确创建一个规则,以允许第一个服务将用户凭据委托给下一个服务。使用 RBCD 时,可由委托凭据的服务的所有者创建委托权限。

对于 IdM-AD 集成,当两个服务都属于同一 IdM 域的一部分时,可以在 IdM 端授予 RBCD 权限。

重要

目前,只有 IdM 域中的服务才能使用 RBCD 规则进行配置。如果目标服务是 AD 域的一部分,则只能在 AD 端授予权限。因为 AD 域控制器无法解析 IdM 服务信息来创建规则,这目前还不支持。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.