Технические подробности упрощенного ограниченного делегирования Microsoft Device Center в Windows Server

При ограничении делегирования появляется возможность указать именно на те внутренние службы, для которых внешняя службы может запросить билеты под именем другого пользователя. Данное поведение будет легче понять при анализации действий, которые выполняются для проверки подлинности, как последовательности состоящей из двух событий.

1. Клиент изначально проходит проверку во внешней службе.
2. Внешняя служба, в свою очередь, проходит проверку во внутренней службе.

Выполнение проверки подлинности: клиент – внешняя служба.  

Проверка подлинности между клиентом и внешним сервером остается неизменной в том случае, когда используется ограниченное делегирование на основе ресурсов. Для того чтобы узнать целевое имя участника службы SPN (service principal name) клиент Kerberos выполняет запрос билета службы из локального центра, который распространяет ключи.

В том случае, когда целевая служба находится в том же домене, KDC сразу же выдает билет службы с сеансовым ключом (ключ к клиенту Kerberos) в сообщении TGS-REP. После этого клиент Kerberos будет следовать по ссылке, так же как делается при выполнении проверки подлинности в ресурсе, который находится вне домена. Происходит это через доверительное отношение.

Проверка подлинности внешняя служба – внутренняя служба.

Проверка подлинности во внешней службе во внутренней службе имеет отличие при использовании ограниченного делегирования. Для делегирования обязательным условием является использование на компьютере (на том компьютере, на котором происходит выполнение внешней службы) работал Server 2012. Это все из-за того, что службы более старых версий операционной системы Windows 8, а так же server 2012 не имеют возможности обеспечить ограниченное делегирование на основе ресурсов.  Так же в предшествующих версиях отсутствовала возможность перехода по ссылкам из Service-for-User-to-Proxy(S2U2 Proxy) TGS-REQ.