Saya telah menghabiskan berjam-jam mencoba untuk belajar dan memahami Otentikasi Windows, Kerberos, SPNs, dan Delegasi Terkendala di IIS 7.5. Satu hal yang tidak saya dapatkan adalah mengapa berisiko "membiarkan delegasi diaktifkan (yaitu tidak menonaktifkan delegasi untuk akun sensitif) untuk Admin, CEO, dll. Dapatkah seseorang tolong jelaskan hal ini kepada saya dalam istilah sederhana? Harap bingkai jawaban Anda sehubungan dengan lingkungan intranet.
Alasan saya adalah bahwa itu tidak boleh menjadi masalah, karena delegasi hanya memungkinkan server web front-end, misalnya, untuk bertindak atas nama orang Windows Otentikasi ketika berkomunikasi dengan server lain. Jika orang tersebut memiliki akses, mereka memiliki akses, saya tidak mengerti mengapa ini harus menjadi perhatian.
Maafkan ketidaktahuan saya. Saya terutama pengembang, tetapi perusahaan saya berjalan sangat ramping hari ini dan saya terpaksa memakai topi admin server juga ... sayangnya, itu masih tidak cocok, lol.
allow
/deny
tag otorisasi.Saya sudah menyiapkan 1000 pelanggan dengan delegasi sebagian besar tidak dibatasi. Saya pikir penting untuk dicatat bahwa jika Anda tidak mempercayai aplikasi Anda (katakanlah disebarkan di IIS) atau Anda memberikan kredensial akun layanan yang didelegasikan kepada kami untuk digunakan orang lain secara bebas, maka delegasi yang dibatasi mungkin merupakan ide yang bagus. Namun, jika Anda tidak mengharapkan siapa pun memiliki kemampuan untuk menulis ulang aplikasi Anda, Anda menjaga kredensial akun layanan Anda aman, dan Anda percaya bahwa aplikasi Anda hanya akan didelegasikan ke layanan yang dirancang untuk mereka, maka di sana biasanya tidak perlu dikhawatirkan. Saya telah melihat beberapa pelanggan "yang sadar akan keamanan" sangat berfokus pada masalah-masalah seperti ini sementara sumber daya mereka dapat dihabiskan lebih baik untuk bekerja pada ancaman keamanan nyata ...
sumber