使用协议转换 － 防御提示

核心提示： 确保网关值得信赖的方法是为网关进程权限授予安全主体以使用协议转换，并列出它可能对其进行委派的服务，使用协议转换 － 防御提示(2)，图 1 显示了来自我为本专栏测试代码所使用的实验室环境的一个示例，这是名为 MyWebIdentity 的用户帐户的 Delegation 属性页，您甚至无需

确保网关值得信赖的方法是为网关进程权限授予安全主体以使用协议转换，并列出它可能对其进行委派的服务。图 1 显示了来自我为本专栏测试代码所使用的实验室环境的一个示例。这是名为 MyWebIdentity 的用户帐户的 Delegation 属性页，该帐户是分配给运行我的 Web 门户示例的 IIS 6.0 应用程序池的另一个低权限帐户。正如您所看到的，我为协议转换配置了 MyWebIdentity，因为我选择了“仅信任此用户作为指定服务的委派”和“使用任意的身份验证协议”这两个选项。需要注意的是，我已经使用 A2D2 列表约束了 MyWebIdentity，这样一来，它能通过协议转换获得的唯一 Kerberos 票证将用于在名为 FileServer 的域中的计算机上的文件系统。CIFS 代表通用 Internet 文件系统 (Common Internet File System)，它是 Microsoft® 文件服务器的名称。

图 1为协议转换配置帐户

顺便提一下，您可能对我在普通用户帐户上能显示 Delegation 选项卡感到奇怪。这是因为我已经为该用户帐户分配了服务主体名称 (SPN)，这将告诉 Active Directory® 帐户是用于一项服务而非一个用户。Delegation 选项卡将只为至少分配了一个 SPN 的安全主体而显示，这就是为什么正常情况下您只能在计算机帐户中查看它的原因。如果您尚不确定什么是 SPN，请参阅“什么是服务主体名称”。

权限的难题

协议转换的确是一项很不错的功能，但这种无需知道用户的密码即可为其创建登录会话的基本能力就有些令人担忧。从技术上来讲，您甚至无需被授予协议转换权限就可做到这一点；任何人都可以使用 S4U2Self Kerberos 扩展来为 Windows Server 2003 中的用户建立登录。您将不能与其他服务器进行交互，除非您已经获得了使用协议转换的权限，但是是什么阻止了正常用户通过使用 WindowsIdentity 的 S4U 登录构造函数的代码来提升其权限？（在以前关于 S4U Kerberos 扩展的专栏中曾经对 WindowsIdentity 进行过讨论）