Condividi tramite

Come configurare la delega vincolata Kerberos per le pagine proxy di registrazione Web

  • Articolo

L'articolo fornisce istruzioni dettagliate per implementare il servizio da utente al proxy (S4U2Proxy) o la delega vincolata Kerberos solo in un account del servizio personalizzato per le pagine proxy di registrazione Web.

Numero KB originale: 4494313

Riepilogo

Questo articolo fornisce istruzioni dettagliate per implementare il servizio da utente al proxy (S4U2Proxy) o la delega vincolata Kerberos solo per le pagine proxy di registrazione Web. Questo articolo descrive gli scenari di configurazione seguenti:

  • Configurazione della delega per un account del servizio personalizzato
  • Configurazione della delega all'account NetworkService

Note

I flussi di lavoro descritti in questo articolo sono specifici di un determinato ambiente. Gli stessi flussi di lavoro potrebbero non funzionare per una situazione diversa. Tuttavia, i principi rimangono invariati. La figura seguente riepiloga questo ambiente.
Tipi di server nell'ambiente di esempio.

Scenario 1: Configurare la delega vincolata per un account del servizio personalizzato

Questa sezione descrive come implementare la delega vincolata service for User to Proxy (S4U2Proxy) o Kerberos-only quando si usa un account del servizio personalizzato per le pagine proxy di registrazione Web.

1. Aggiungere un NOME SPN all'account del servizio

Associare l'account del servizio a un nome dell'entità servizio (SPN). A tale scopo, effettuare i passaggi seguenti:

  1. In Utenti e computer di Active Directory connettersi al dominio e quindi selezionare Utenti PKI PKI>.

  2. Fare clic con il pulsante destro del mouse sull'account del servizio, ad esempio web_svc, quindi scegliere Proprietà.

  3. Selezionare Attributo Editor>servicePrincipalName.

  4. Digitare la nuova stringa SPN, selezionare Aggiungi (come illustrato nella figura seguente) e quindi selezionare OK.

    Indicazioni per aggiungere e configurare i nomi SPN T T H.

    È anche possibile usare Windows PowerShell per configurare il nome SPN. A tale scopo, aprire una finestra di PowerShell con privilegi elevati e quindi eseguire setspn -s SPN Accountname. Ad esempio, eseguire il comando seguente:

    setspn -s HTTP/webenroll2016.contoso.com web_svc

2. Configurare la delega

  1. Configurare la delega vincolata S4U2proxy (solo Kerberos) nell'account del servizio. A tale scopo, nella finestra di dialogo Proprietà dell'account del servizio (come descritto nella procedura precedente), selezionare Delega attendibile >l'utente per la delega solo ai servizi specificati. Assicurarsi che sia selezionata l'opzione Usa solo Kerberos.

    Configurare web_svc proprietà nella scheda Delega della finestra di dialogo Proprietà.

  2. Chiudere la finestra di dialogo.

  3. Nell'albero della console selezionare Computer e quindi selezionare l'account computer del server front-end registrazione Web.

    Note

    Questo account è noto anche come "account computer".

  4. Configurare la delega vincolata S4U2self (transizione protocollo) nell'account computer. A tale scopo, fare clic con il pulsante destro del mouse sull'account computer e quindi scegliere Proprietà>Delega attendibile>questo computer per la delega solo ai servizi specificati. Selezionare Utilizza un qualsiasi protocollo di autenticazione.

    Selezionare Usa qualsiasi protocollo di autenticazione nell'opzione Considera attendibile il computer per la delega solo ai servizi specificati.

3. Creare e associare il certificato SSL per la registrazione Web

Per abilitare le pagine di registrazione Web, creare un certificato di dominio per il sito Web e associarlo al sito Web predefinito. A tale scopo, effettuare i passaggi seguenti:

  1. Aprire Gestione Internet Information Services (IIS).

  2. Nell'albero della console selezionare <HostName> e quindi Certificati server.

    Note

    <HostName> è il nome del server Web front-end.
    Aggiungere un certificato di dominio per il sito Web.

  3. Nel menu Azioni selezionare Crea un certificato di dominio.

  4. Dopo aver creato il certificato, selezionare Sito Web predefinito nell'albero della console e quindi selezionare Associazioni.

  5. Assicurarsi che Port sia impostato su 443. Quindi, in Certificato SSL selezionare il certificato creato nel passaggio 3.

    Aggiungere il certificato e associarlo alla porta 443 per lo scenario 1.

  6. Selezionare OK per associare il certificato alla porta 443.

4. Configurare il server front-end di registrazione Web per l'uso dell'account del servizio

Importante

Assicurarsi che l'account del servizio faccia parte degli amministratori locali o del gruppo IIS_Users nel server Web.
Gruppi per l'account del servizio nel server Web.

  1. Fare clic con il pulsante destro del mouse su DefaultAppPool e quindi scegliere Impostazioni avanzate.

    Configurare le impostazioni avanzate dei pool di applicazioni.

  2. Selezionare Process Model Identity (Identità modello>di processo), selezionare Account personalizzato e quindi Set (Imposta). Specificare il nome e la password dell'account del servizio.

    Configurare l'identità del pool di applicazioni come account del servizio personalizzato.

  3. Selezionare OK nelle finestre di dialogo Imposta credenziali e identità del pool di applicazioni.

  4. In Impostazioni avanzate individuare Carica profilo utente e assicurarsi che sia impostato su True.

    Impostare l'impostazione Carica profilo utente su True.

  5. Riavviare il computer.

Scenario 2: Configurare la delega vincolata nell'account NetworkService

Questa sezione descrive come implementare la delega vincolata S4U2Proxy o Kerberos solo quando si usa l'account NetworkService per le pagine proxy di registrazione Web.

Passaggio facoltativo: Configurare un nome da usare per le connessioni

È possibile assegnare un nome al ruolo Registrazione Web che i client possono usare per connettersi. Questa configurazione significa che le richieste in ingresso non devono conoscere il nome computer del server front-end registrazione Web o altre informazioni di routing, ad esempio il nome canonico DNS (CNAME).

Si supponga, ad esempio, che il nome computer del server di registrazione Web sia WEBENROLLMAC (nel dominio Contoso). Si vuole che le connessioni in ingresso usino invece il nome ContosoWebEnroll. In questo caso, l'URL di connessione sarà il seguente:

https://contosowebenroll.contoso.com/certsrv

Non sarebbe il seguente:

https://WEBENROLLMAC.contoso.com/certsrv

Per usare una configurazione di questo tipo, seguire questa procedura:

  1. Nel file di zona DNS per il dominio creare un record alias o un record del nome host che esegue il mapping del nuovo nome di connessione all'indirizzo IP del ruolo Registrazione Web. Usare lo strumento Ping per testare la configurazione del routing.

    Nell'esempio descritto in precedenza, il file di zona ha un record alias che esegue il Contoso.com mapping di ContosoWebEnroll all'indirizzo IP del ruolo Registrazione Web.

  2. Configurare il nuovo nome come nome SPN per il server front-end di registrazione Web. A tale scopo, effettuare i passaggi seguenti:

    1. In Utenti e computer di Active Directory connettersi al dominio e quindi selezionare Computer.
    2. Fare clic con il pulsante destro del mouse sull'account computer del server front-end registrazione Web e quindi scegliere Proprietà.

      Note

      Questo account è noto anche come "account computer".

    3. Selezionare Attributo Editor>servicePrincipalName.
    4. Digitare HTTP/<ConnectionName.<>DomainName.com, selezionare Aggiungi e quindi ok.>

      Note

      In questa stringa ConnectionName <> è il nuovo nome definito e< DomainName> è il nome del dominio. Nell'esempio la stringa è HTTP/ContosoWebEnroll.contoso.com. Aggiungere un S P N all'account computer server front-end.

1. Configurare la delega

  1. Se non si è ancora connessi al dominio, eseguire questa operazione ora in Utenti e computer di Active Directory e quindi selezionare Computer.

  2. Fare clic con il pulsante destro del mouse sull'account computer del server front-end registrazione Web e quindi scegliere Proprietà.

    Note

    Questo account è noto anche come "account computer".

  3. Selezionare Delega e quindi selezionare Considera attendibile il computer per la delega solo ai servizi specificati.

    Note

    Se è possibile garantire che i client usino sempre l'autenticazione Kerberos quando si connettono a questo server, selezionare Usa solo Kerberos. Se alcuni client useranno altri metodi di autenticazione, ad esempio l'autenticazione basata su form o NTLM, selezionare Usa qualsiasi protocollo di autenticazione.

    Configurare la delega nell'account computer del server Web.

2. Creare e associare il certificato SSL per la registrazione Web

Per abilitare le pagine di registrazione Web, creare un certificato di dominio per il sito Web e quindi associarlo al primo sito predefinito. A tale scopo, effettuare i passaggi seguenti:

  1. Apri Gestione IIS.

  2. Nell'albero della console selezionare <HostName> e quindi selezionare Certificati server nel riquadro azioni.

    Note

    <HostName> è il nome del server Web front-end. Aggiungere un certificato di dominio per il sito Web.

  3. Nel menu Azioni selezionare Crea un certificato di dominio.

  4. Dopo aver creato il certificato, selezionare Sito Web predefinito e quindi binding.

  5. Assicurarsi che Port sia impostato su 443. Quindi, in Certificato SSL selezionare il certificato creato nel passaggio 3. Selezionare OK per associare il certificato alla porta 443.

    Aggiungere il certificato e associarlo alla porta 443.

3. Configurare il server front-end di registrazione Web per l'uso dell'account NetworkService

  1. Fare clic con il pulsante destro del mouse su DefaultAppPool e quindi scegliere Impostazioni avanzate.

    Selezionare Impostazioni avanzate del pool di applicazioni predefinito.

  2. Selezionare Process Model Identity (Identità del modello>di processo). Assicurarsi che l'account predefinito sia selezionato e quindi selezionare NetworkService. Quindi selezionare OK.

    Configurare l'identità del pool di applicazioni come account NetworkService predefinito.

  3. In Proprietà avanzate individuare Carica profilo utente e quindi assicurarsi che sia impostato su True.

    Impostare Carica profilo utente su True nelle impostazioni avanzate.

  4. Riavviare il servizio IIS.

Per altre informazioni su questi processi, vedere Autenticazione degli utenti dell'applicazione Web.

Per altre informazioni sulle estensioni del protocollo S4U2self e S4U2proxy, vedere gli articoli seguenti: