¿Es válido un ticket de Kerberos con solo una confianza externa unidireccional entre dominios?

Question

¿Es válido un ticket de Kerberos con solo una confianza externa unidireccional entre dominios?

#1 de Jonathan Allon (2 votos)

3

La situación es que tengo dos dominios (Dominio A y Dominio B) que viven en redes separadas. Necesito permitir que los usuarios en B se autentiquen con la autenticación de Windows integrada (IWA) cuando llegan a una aplicación web implementada en un servidor IIS en A. Actualmente, IIS devuelve un 401 cuando los usuarios en B intentan acceder a la URL.

Posible solución: establezca una confianza entre A y B para que los usuarios de B puedan autenticarse contra A. B, sin embargo, es altamente seguro y solo permitirá que A establezca la confianza saliente (A confía en B). Entonces la pregunta aquí es:

¿El TGT de B del usuario es válido en mi servidor IIS en A, o el servidor IIS todavía tendrá que comunicarse con el ActiveDirectory / controlador de dominio en B (que requiere confianza bidireccional, presumiblemente)? / em>

authentication active-directory crossdomain kerberos iis

pregunta Sean 'Doc' Rinehart 28.06.2016 - 22:42
fuente

1 respuesta

2

de lo que recojo el servidor IIS es parte del dominio A, si es así, puede agregar una forma confianza entre A- > B , esto hará que el dominio A confíe en todos los usuarios globales / universales del dominio B, lo que le permite dar acceso (en el servidor IIS) al dominio B usuarios.

para SSO / IWA necesita que el servidor IIS sea considerado como parte de zona de la intranet por los hosts en B, esto requerirá tener el mismo sufijo DNS que el dominio A en los hosts del dominio B, en la misma subred o una adición manual a la zona de la intranet para ese sitio específico.

algunos puntos que debo aclarar para que esta respuesta tenga más sentido y proporcione información sobre los límites de seguridad en AD:

El TGT no se envía al servidor IIS, solo un TGS.

a menos que tenga validación PAC habilitada el servidor IIS nunca contactará con el DC como parte de la secuencia de autenticación.

un fideicomiso no es un buen límite de seguridad (existen otros mecanismos para limitar el acceso entre dominios, como segmentación de red y cortafuegos)

esta es una gran explicación sobre cómo funciona kerberos

respondido por el Jonathan Allon 30.04.2017 - 11:44
fuente

Lea otras preguntas en las etiquetas authentication active-directory crossdomain kerberos iis

¿Qué pueden hacer los operadores de infraestructura de virtualización con respecto a las explotaciones de SMM en anillo 0? inquietud acerca de incluir el formulario de tarjeta de crédito en iframe utilizando url generada dinámicamente

score 2 · Answer 1

de lo que recojo el servidor IIS es parte del dominio A, si es así, puede agregar una forma confianza entre A- > B , esto hará que el dominio A confíe en todos los usuarios globales / universales del dominio B, lo que le permite dar acceso (en el servidor IIS) al dominio B usuarios.

para SSO / IWA necesita que el servidor IIS sea considerado como parte de zona de la intranet por los hosts en B, esto requerirá tener el mismo sufijo DNS que el dominio A en los hosts del dominio B, en la misma subred o una adición manual a la zona de la intranet para ese sitio específico.

algunos puntos que debo aclarar para que esta respuesta tenga más sentido y proporcione información sobre los límites de seguridad en AD:

El TGT no se envía al servidor IIS, solo un TGS.
a menos que tenga validación PAC habilitada el servidor IIS nunca contactará con el DC como parte de la secuencia de autenticación.
un fideicomiso no es un buen límite de seguridad (existen otros mecanismos para limitar el acceso entre dominios, como segmentación de red y cortafuegos)
esta es una gran explicación sobre cómo funciona kerberos