56.2. 在身份管理中基于资源的受限委托
基于资源的受限委托(RBCD)与常规受限委托在多个方面有所不同:
- 粒度:在 RBCD 中,委托在资源级别上指定。
- 访问授权责任:在 RBCD 中,访问是由服务所有者,而不是 Kerberos 管理员控制的。
在常规受限委托中,用户到代理的服务(S4U2proxy
)扩展代表用户获取其他服务的服务票据。第二个服务通常是在用户的授权上下文下,代表第一个服务执行任务的代理。使用受限委托删除了用户委托其完整的票据授予票据 (TGT)的需要。
身份管理(IdM)通常使用 Kerberos S4U2proxy
功能来允许 Web 服务器框架代表用户获取 LDAP 服务票据。
当 IdM 与活动目录(AD)集成时,IdM 框架也使用受限委托来代表用户对各种服务(包括 IdM 和活动目录端的 SMB 和 DCE RPC 端点)进行操作。
当 IdM 域中的应用程序需要代表用户对不同服务进行操作时,需要委托权限。在常规受限委托中,这需要域管理员明确创建一个规则,以允许第一个服务将用户凭据委托给下一个服务。使用 RBCD 时,可由委托凭据的服务的所有者创建委托权限。
对于 IdM-AD 集成,当两个服务都属于同一 IdM 域的一部分时,可以在 IdM 端授予 RBCD 权限。
目前,只有 IdM 域中的服务才能使用 RBCD 规则进行配置。如果目标服务是 AD 域的一部分,则只能在 AD 端授予权限。因为 AD 域控制器无法解析 IdM 服务信息来创建规则,这目前还不支持。