Windows - Megbízások delegálása a Windows 2003 szerverben

A Windows 2003 szerver nagyobb biztonságot és rugalmasságot biztosít a felhasználói megbízások kezelésével kapcsolatban. Cikkünk bemutatja ezeket az újdonságokat, és összehasonlítást is végez a Windows 2000 szerver nyújtotta lehetőségekkel.
A delegálás nem más, mint a meglévő felelősség vagy felhatalmazás átadása valakinek vagy valaminek. Ha a Windows 2003 szerver felügyeletéről beszélünk, akkor ez a rendszergazdai vagy vezérlési műveletek átruházását jelenti. Jelentheti azonban a hitelesítés átruházását is, lehetővé téve, hogy egy szolgáltatás egy felhasználó vagy számítógépes azonosító nevében érjen el erőforrásokat. A Windows 2003 megkönnyíti a munkánkat ezen utóbbi szempontból, mivel újabb lehetőségeket ad a felhatalmazások megvalósításában.
Ha a hitelesítések kiosztásáról, jogosultságról beszélünk, akkor felhasználók és számítógépek számára szükséges hitelesítésről beszélünk. Amikor egy szolgáltatásnak hozzáférésre van szüksége a hálózati erőforrásokhoz, hogy elvégezze a feladatát, akkor hitelesítettnek kell lennie. Ha nem hitelesített, akkor egy hatalmas biztonsági lyukat képez, amely kihasználható, segítségével támadható a rendszer.
A szolgáltatás megszemélyesíti a felhasználói vagy számítógépes azonosítókat, hogy elérje a szükséges hozzáférést; amikor lehetőséget kap erre, akkor azt mondjuk, hogy megbízásos felhatalmazást szerez. Ekkor ez a szolgáltatás egy felhasználó nevében használhat hálózati szolgáltatásokat.
Csak azok a rendszergazdák, akik rendelkeznek az " Enable computer and user accounts to be trusted for delegation " joggal képesek felhatalmazást adni. Tartományi rendszergazdák és Vállalati rendszergazdák rendelkeznek ezzel a jogosultsággal. Az eljárás, amellyel egy felhasználó felhatalmazást kaphat, a tartomány funkcionalitási szintjétől függ. Akár Windows 2000 natív, akár Windows 2003 szerver funkcionalitási szinten ezt megtehetjük az "Active Directory Users and Computers" eszköz segítségével, kiválasztva a "Users" tárolót, jobb egérgombbal kattintva a felhasználói azonosítón, amelynek felhatalmazást akarunk adni, és a "Properties"-t kell választanunk. A különbség a tab-ok között van. A Windows 2003 tartomány esetén ez "Delegation" tab, míg Windows 2000 natív tartomány esetén ez az "Account" tab-on van. Bármelyik esetben csak az "Account is trusted for delegation" checkbox-ot kell használnunk.
A Windows 2003 funkcionalitási szinten nem látjuk a "Delegation" lapot, ha nincs szolgáltatásigazgatási név (SPN) regisztrálva az azonosítóhoz. Normális esetben SPN csak a szolgáltatásazonosítókhoz van regisztrálva. Általános felhasználói fiókok nem rendelkeznek SPN-el alapértelmezésben, de regisztrálhatunk számukra a Setspn eszköz segítségével, amely a Support Tools csomag része a Windows 2003 telepítőlemezen.
Először telepítsük a Support Tools készletet, ha ezt még nem tettük meg. Ezután nyissunk egy parancssori ablakot és írjuk be, hogy setspn. Ezzel láthatjuk a szintaxist, és a kapcsolókat a parancshoz.
Az –A kapcsolót kell ahhoz használnunk, hogy önkényesen SPN-el lássuk el az azonosítót. Ezután meg kell adnunk az azonosító nevét, amint a példa is mutatja:
Setspn –A http/kovacslajos lajos
Ebben a példában a "http/kovacslajos" az SPN név, és "lajos" a felhasználói azonosító neve az Active Directory-ban.
Ezután engedélyezhetjük a felhatalmazást. Ha egy azonosítót felhatalmazunk egy szolgáltatás használatára, akkor megadhatjuk, hogy csak a Kerberos protokollt, vagy bármely más hitelesítő protokollt használjuk.
Ha kiválasztunk megbízásra egy felhasználót, akkor a szolgáltatásokat az "Add" gomb segítségével vehetjük fel hozzá. Ezután válasszuk a számítógép nevét, amelyen a szolgáltatás fut, és a szolgáltatásokat, amelyeket delegálni akarunk a listából.
A Windows 2000-ben a hitelesítés delegálás csak Kerberos hitelesítés esetén használható. Windows 2003 szerveren nincs ilyen megszorítás. A protokoll átvitel nevű új tulajdonság miatt egy kliens hitelesíteni tudja magát más protokollok segítségével is (ha azt választjuk, hogy lehetővé tesszük más protokollok használatát, attól még az alapértelmezett a csak Kerberos használata). Ha az egyéb protokollokat is engedélyezzük, akkor a kezdeti kliensszerver hitelesítésnél használt protokollt fogja alkalmazni a rendszer. Ez lehet NTLM, SSL, vagy Diegest hitelesítés.
A másik új tulajdonság a kényszerű delegáció. Ez lehetővé teszi egy rendszergazdának, hogy egy azonosító számára delegálást tegyen lehetővé anélkül, hogy bármelyik vagy az összes szolgáltatáshoz felhatalmazást adjon. Az SPN-ek megadásának lehetősége (felhasználói azonosítók kiválasztása delegálásra) nincs meg Windows 2000-ben. Ehelyett minden helyi rendszerazonosító alatt futó szolgáltatás delegálható. Az új funkció biztonságosabbá teszi a szervert.
A másik különbség a Kerberos hitelesítéssel kapcsolatos. A Windows 2000-ben egy szolgáltatási jegy szükséges a hitelesítéshez. A felhasználó jegye a jegyekhez (TGT) beágyazódott a szolgáltatási jegybe. A TGT-t a más szolgáltatásokhoz kapcsolódó szolgáltatási jegyet kérő megbízott azonosító használja. Most a Windows 2003 esetén nem szükséges a TGT. Ez egy újabb tulajdonsága a protokoll-átvitelnek.
A protokoll-átvitel nagyobb rugalmasságot biztosít a hitelesítésben. Arra használható, hogy a kliensek többféle hitelesítési módszert használjanak a Web-szerverekhez való kapcsolódásban.